Onderzoeker: Citrix-systemen overheden in mei voorzien van backdoor
Citrix-systemen van westerse overheden zijn in mei voorzien van een backdoor, een maand voordat een beveiligingsupdate beschikbaar kwam om de gebruikte kwetsbaarheid te verhelpen, zo stelt de Britse beveiligingsonderzoeker Kevin Beaumont. In een analyse kijkt Beaumont naar een backdoor die bij verschillende, niet nader genoemde westerse overheden en juridische instellingen werd geplaatst.
Volgens de onderzoeker is de backdoor waarschijnlijk het werk van een groep aanvallers genaamd Volt Typhoon, die zich met spionage bezighoudt. Details over de gebruikte kwetsbaarheid zijn schaars, aldus Beaumont. "De campagne begon met een kwetsbaarheid in getAuthenticationRequirements.do. Het lijkt erop dat die sindsdien door Citrix is gepatcht... maar er zijn geen technische indicatoren gegeven waarmee organisaties in hun Netscaler web access logs naar aanvallers kunnen zoeken, en beveiligingsleveranciers hebben geen technische analyses gepubliceerd."
De onderzoeker stelt aanvullend dat de backdoor na het patchen op het systeem aanwezig blijft. "Citrix verborg eigenlijk het bestaan van de backdoor voor klanten, en besloot het bestaan van de backdoor of technische details niet publiekelijk te maken. Ze hebben ook alleen onder non-disclosure agreements technische scripts aan klanten verstrekt." Via de backdoor blijven de aanvallers toegang tot gecompromitteerde systemen behouden en kunnen dan verdere aanvallen uitvoeren.
"Dit is een serieuze aanvaller die veel middelen investeert om toegang tot organisaties te behouden via het product dat ze eigenlijk zou moeten beschermen. Het is eigenlijk een alles of niets moment voor het product", aldus Beaumont. "En waarschijnlijk weer een nieuwe waarschuwing in de kolenmijn van leveranciers dat netwerkbeveiligingsapparatuur op een niet eerder waargenomen schaal wordt gereverse engineered." Volgens Beaumont moet er meer aandacht komen voor de veiligheid van edge devices en moeten securitybedrijven uitgebreider naar Citrix kijken.
https://www.ncsc.nl/actueel/nieuws/2025/07/22/casus-citrix-kwetsbaarheid
Hoeveel tijd heb? want de lijst is lang.
Wat wil je nu hiermee zeggen? Alles weer analoog ?
Wat wil je nu hiermee zeggen? Alles weer analoog ?
/s
Maar serieus, iedereen met meer dan twee hersencellen weet al meer dan een decennia dat je afscheid moet nemen van deze ouderwetse legacy oplossingen. En als je na de eerste grote incidenten met Citrix in 2020 het nog steeds niet snapt.. Dan verdien je het ook wel om zo gehacked te worden. Iets met een kalf en het dempen van de put...
/s
Maar serieus, iedereen met meer dan twee hersencellen weet al meer dan een decennia dat je afscheid moet nemen van deze ouderwetse legacy oplossingen. En als je na de eerste grote incidenten met Citrix in 2020 het nog steeds niet snapt.. Dan verdien je het ook wel om zo gehacked te worden. Iets met een kalf en het dempen van de put...
Wat is volgens jou een goed alternatief voor Citrix Netscaler?
/s
Maar serieus, iedereen met meer dan twee hersencellen weet al meer dan een decennia dat je afscheid moet nemen van deze ouderwetse legacy oplossingen. En als je na de eerste grote incidenten met Citrix in 2020 het nog steeds niet snapt.. Dan verdien je het ook wel om zo gehacked te worden. Iets met een kalf en het dempen van de put...
/s
Welk Enterprise Product zou jij dan het OM adviseren?
/s
Maar serieus, iedereen met meer dan twee hersencellen weet al meer dan een decennia dat je afscheid moet nemen van deze ouderwetse legacy oplossingen. En als je na de eerste grote incidenten met Citrix in 2020 het nog steeds niet snapt.. Dan verdien je het ook wel om zo gehacked te worden. Iets met een kalf en het dempen van de put...
/s
Welk Enterprise Product zou jij dan het OM adviseren?
Citrix Cloud, daarmee haal je de NetScaler Gateway die in de DMZ leeft uit de architectuur. Je stapt dan over naar de Citrix Gateway Service, en deze draait niet in je DMZ of interne netwerk. De Gateway Service maakt gebruik van een Cloud Connector om gebruikers te laten verbinden met hun apps en desktops, waar ze dan ook gehost worden (on-prem, Citrix cloud via DaaS or bijv. Azure). Dan ben je niet meer vatbaar voor alle deze heftige ADC vulnerabilities, welke vaak afhankelijk zijn van het bestaan van een AAA server of NetScaler Gateway.
/s
Maar serieus, iedereen met meer dan twee hersencellen weet al meer dan een decennia dat je afscheid moet nemen van deze ouderwetse legacy oplossingen. En als je na de eerste grote incidenten met Citrix in 2020 het nog steeds niet snapt.. Dan verdien je het ook wel om zo gehacked te worden. Iets met een kalf en het dempen van de put...
/s
Welk Enterprise Product zou jij dan het OM adviseren?
Citrix Cloud, daarmee haal je de NetScaler Gateway die in de DMZ leeft uit de architectuur. Je stapt dan over naar de Citrix Gateway Service, en deze draait niet in je DMZ of interne netwerk. De Gateway Service maakt gebruik van een Cloud Connector om gebruikers te laten verbinden met hun apps en desktops, waar ze dan ook gehost worden (on-prem, Citrix cloud via DaaS or bijv. Azure). Dan ben je niet meer vatbaar voor alle deze heftige ADC vulnerabilities, welke vaak afhankelijk zijn van het bestaan van een AAA server of NetScaler Gateway.
Ja da's leuk, totdat er dus kwetsbaarheden zijn die Citrix zélf nog niet gepatched heeft omdat ze simpelweg de patch nog niet gebouwd hebben. Daarom zijn het ook zerodays... Cloud of niet, dan ben je alsnog de pineut.
Wat wil je nu hiermee zeggen? Alles weer analoog ?
Closed source en Security through obscurity zijn totaal niet gerelateerd aan elkaar.
Daarnaast bied open source helemaal geen garanties. wie leest alle code? wie beheert alle libraries en blijven die ook beheert ? maar 2 van de vele argumenten waarom het niet perse beter hoeft te zijn. Genoeg opensource software met enorme lekken, die soms ook nog eens langer blijven bestaan omdat er geen incentive hoeft te zijn van de makers om het te snel te pachten.
Wat wil je nu hiermee zeggen? Alles weer analoog ?
Closed source en Security through obscurity zijn totaal niet gerelateerd aan elkaar.
Daarnaast bied open source helemaal geen garanties. wie leest alle code? wie beheert alle libraries en blijven die ook beheert ? maar 2 van de vele argumenten waarom het niet perse beter hoeft te zijn. Genoeg opensource software met enorme lekken, die soms ook nog eens langer blijven bestaan omdat er geen incentive hoeft te zijn van de makers om het te snel te pachten.
Open source zelf biedt geen enkele garantie dat zegt ook niemand. Closed source ook niet, sterker nog van Microsoft mag je hun code niet eens gebruiken als je ze niet akkoord gaat met de EULA.
Je kan wel onderhoudscontracten afsluiten met diverse bedrijven die ook nog eens code kunnen fixen. Dat kan bij Microsoft software niet.
Kortom je verzint zaken die niemand beweerd. Dat deed je hier waarschijnlijk al eerder in dit topic.
Wat wil je nu hiermee zeggen? Alles weer analoog ?
Closed source en Security through obscurity zijn totaal niet gerelateerd aan elkaar.
Daarnaast bied open source helemaal geen garanties. wie leest alle code? wie beheert alle libraries en blijven die ook beheert ? maar 2 van de vele argumenten waarom het niet perse beter hoeft te zijn. Genoeg opensource software met enorme lekken, die soms ook nog eens langer blijven bestaan omdat er geen incentive hoeft te zijn van de makers om het te snel te pachten.
Wat wil je nu hiermee zeggen? Alles weer analoog ?
Closed source en Security through obscurity zijn totaal niet gerelateerd aan elkaar.
Daarnaast bied open source helemaal geen garanties. wie leest alle code? wie beheert alle libraries en blijven die ook beheert ? maar 2 van de vele argumenten waarom het niet perse beter hoeft te zijn. Genoeg opensource software met enorme lekken, die soms ook nog eens langer blijven bestaan omdat er geen incentive hoeft te zijn van de makers om het te snel te pachten.
Dit! Maar zelfs als men 'modern' Windows zou draaien dan hang je niet al je servers en werkstations in 1 groot kwetsbaar netwerk. Het probleem hier is dat men ouderwets alles in 1 Active Directory draait waarvan zelfs Microsoft al 5 jaar zegt dat je dat niet moet doen... En dan zitten deze clubs ook nog op 'Citrix'....
Het bijzondere is dat gebruikers hier steen en been over klagen en men niet eens een youtube filmpje op 4K kan kijken. En dan hebben deze organisaties nog steeds niet in de gaten dat ze in het jaar 2000 leven...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?