Grootschalige exploitatiecampagne van Citrix NetScaler toepassingen ontdekt

Het lijkt erop dat een tegenstander CVE-2023-3519 op geautomatiseerde wijze heeft misbruikt door webshells op kwetsbare NetScalers te plaatsen om blijvende toegang te krijgen. De tegenstander kan met deze webshell willekeurige commando's uitvoeren, zelfs als een NetScaler is gepatcht en/of opnieuw is opgestart. Op het moment van schrijven hebben meer dan 1900 NetScalers nog steeds een backdoor. Aan de hand van de door Fox-IT aangeleverde gegevens heeft het Nederlands Instituut voor Vulnerability Disclosure slachtoffers geïnformeerd.

• Op 18 juli werd een reeks kwetsbaarheden in NetScaler onthuld, waarvan er één het uitvoeren van externe code mogelijk maakt. Deze onthulling werd gepubliceerd nadat verschillende beveiligingsorganisaties beperkte uitbuiting van deze kwetsbaarheden in het wild zagen.
• Fox-IT heeft (in samenwerking met het Dutch Institute of Vulnerability Disclosure) gescand op deze webshells om gecompromitteerde systemen te identificeren. Er zijn Responsible Disclosure-meldingen verzonden door de DIVD.
• Ten tijde van deze uitbuitingscampagne waren 31127 NetScalers kwetsbaar voor CVE-2023-3519.
• Vanaf 14 augustus 1828 blijven NetScalers backdoored.
• Van de backdoored NetScalers zijn er 1248 gepatcht voor CVE-2023-3519.

Aanbevelingen voor NetScaler-beheerders

• Een gepatchte NetScaler kan nog steeds een backdoor bevatten. Het wordt aanbevolen om een ​​Indicator of Compromise-controle uit te voeren op uw NetScalers, ongeacht wanneer de patch is toegepast.
  • Fox-IT heeft een Python-script geleverd dat Dissect gebruikt om triage uit te voeren op forensische afbeeldingen van NetScalers.
  • Mandiant heeft een bash-script geleverd om te controleren op Indicators of Compromise op live systemen. Houd er rekening mee dat als dit script twee keer wordt uitgevoerd, het fout-positieve resultaten oplevert, omdat bepaalde zoekopdrachten in de NetScaler-logboeken worden geschreven wanneer het script wordt uitgevoerd.
• Als er sporen van compromittering worden ontdekt, beveilig dan forensische gegevens; Het wordt ten zeerste aanbevolen om een ​​forensische kopie te maken van zowel de schijf als het geheugen van het apparaat voordat herstel- of onderzoeksacties worden uitgevoerd. Als de Citrix-appliance op een hypervisor is geïnstalleerd, kan er een momentopname worden gemaakt voor vervolgonderzoek.
• Als er een webshell wordt gevonden, onderzoek dan of deze is gebruikt om activiteiten uit te voeren. Het gebruik van de webshell moet zichtbaar zijn in de NetScaler-toegangslogboeken. Als er aanwijzingen zijn dat de webshell is gebruikt om ongeoorloofde activiteiten uit te voeren, is het essentieel om een ​​groter onderzoek uit te voeren om vast te stellen of de tegenstander met succes stappen heeft ondernomen om lateraal van de NetScaler naar een ander systeem in uw infrastructuur te gaan.

Tijdlijn voor onderzoek en openbaarmaking

Juli 2023: Identificatie en openbaarmaking van NetScalers die kwetsbaar zijn voor CVE-2023-3519

Onlangs zijn er drie kwetsbaarheden gemeld in Citrix ADC en Citrix Gateway. Op basis van de door Citrix gedeelde informatie geeft een van deze kwetsbaarheden (CVE-2023-3519) een aanvaller de mogelijkheid om niet-geverifieerde externe code uit te voeren. Citrix en verschillende andere organisaties hebben ook informatie gedeeld over het feit dat deze kwetsbaarheid actief in het wild wordt misbruikt.

Op het moment dat Citrix informatie vrijgaf over CVE-2023-3519, waren details over hoe deze kwetsbaarheid kon worden misbruikt niet algemeen bekend. Aan de hand van eerder onderzoek naar de identificatie van Citrix-versies konden we snel vaststellen welke Citrix-servers op internet kwetsbaar waren voor CVE-2023-3519. Deze informatie werd gedeeld met het Dutch Institute of Vulnerability Disclosure (DIVD), die beheerders kon laten weten dat ze kwetsbare NetScalers hadden blootgesteld aan internet .