De Amerikaanse overheid heeft ziekenhuizen in het land opgeroepen om een kritieke kwetsbaarheid in NetScaler ADC- en Gateway-systemen, aangeduid als 'CitrixBleed' of CVE-2023-4966, met spoed te patchen (pdf). Aanleiding is het gebruik van het beveiligingslek bij ransomware-aanvallen. De oproep van het Amerikaanse ministerie van Volksgezondheid is niet alleen aan ziekenhuizen gericht, maar ook aan andere vitale infrastructuur.

Volgens cijfers van de Shadowserver Foundation zijn nog meer dan tweeduizend kwetsbare NetScaler-systemen vanaf internet toegankelijk. De stichting, die zich met de bestrijding van cybercrime bezighoudt en op internet naar kwetsbare systemen scant, liet laatst nog weten dat organisaties die niet tijdig de update hebben uitgerold, ervan uit moeten gaan dat hun systemen zijn gecompromitteerd.

NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt.

Op 10 oktober kwam NetScaler met een update voor een kritieke kwetsbaarheid aangeduid als CVE-2023-4966 en 'CitrixBleed'. Via het lek kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen. Vervolgens zijn er vanaf het gecompromitteerde systeem verdere aanvallen uit te voeren.

'Patiënten in gevaar'

"Deze urgente waarschuwing van het Health Sector Cybersecurity Coordination Center (HC3) benadrukt de ernst van de CitrixBleed-kwetsbaarheid en de urgente noodzaak om de bestaande Citrix-patch uit te rollen om onze systemen te beschermen", zegt John Rigi van de American Hospital Association. "De situatie toont ook de agressiviteit waarmee buitenlandse ransomwaregroepen, met name Russisch sprekende groepen, ziekenhuizen en zorgsystemen blijven aanvallen."

Volgens Rigi verstoren en vertragen ransomware-aanvallen het leveren van zorg en brengen het leven van patiënten in gevaar. "We moeten waakzaam zijn en onze cyberverdediging versterken, aangezien er geen twijfel is dat cybercriminelen de zorgsector blijven aanvallen, met name tijdens de feestdagen." Vorige week meldde de Duitse politie dat een Duits ziekenhuis via de CitrixBleed-kwetsbaarheid was aangevallen.