Een kritieke kwetsbaarheid in Citrix NetScaler waarvoor op 10 oktober een beveiligingsupdate verscheen wordt al sinds eind augustus misbruikt bij aanvallen, zo stelt securitybedrijf Mandiant. In een eerste versie van het beveiligingsbulletin werd niet door Citrix vermeld dat het om een actief aangevallen zerodaylek ging. Gisteren werd het bulletin van een update voorzien, waarin nu wel wordt gemeld dat aanvallen plaatsvinden.

NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt.

Via een kwetsbaarheid in het product, aangeduid als CVE-2023-4966, kan een aanvaller gevoelige informatie van systemen achterhalen. Verdere details over het soort informatie werden niet door Citrix gegeven. Mandiant stelt dat aanvallen via de kwetsbaarheid al sinds eind augustus plaatsvinden. Via het beveiligingslek kan een aanvaller bestaande ingelogde sessies van gebruikers kapen, en zo de multifactorauthenticatie of andere inlogvereisten omzeilen.

Deze gekaapte sessies kunnen ook na het installeren van de beveiligingsupdate voor CVE-2023-4966 bestaan of worden gebruikt. Mandiant zegt dat het aanvallen heeft gezien waarbij aanvallers sessiegegevens wisten te stelen voordat de patch werd geïnstalleerd, en de gegevens na de installatie van de update pas gebruikten. Afhankelijk van de gekaapte sessiegegevens kan de aanvaller vervolgens andere inloggegevens stelen en verdere toegang krijgen. Onder andere professionele dienstverleners, techbedrijven en overheidsinstellingen zijn via het zerodaylek aangevallen.