Fox-IT waarschuwt voor omvangrijke aanval op Citrix NetScaler appliances
Fox-IT waarschuwt voor een omvangrijke aanvalscampagne gericht op Citrix NetScaler appliances. Meer dan 1.900 NetScaler appliances zijn inmiddels voorzien van een backdoor. Ook in Nederland zijn er slachtoffers.
Dit meldt Fox-IT op basis van onderzoek in samenwerking met het Dutch Institute of Vulnerability Disclosure (DIVD). Bij de aanvalscampagne buiten de aanvallers vermoedelijk de kwetsbaarheid CVE-2023-3519 op een geautomatiseerde manier uit. Zij plaatsen vervolgens webshells op kwetsbare NetScaler appliances, om via een backdoor persistente toegang te verkrijgen tot de apparaten.
CVE-2023-3519 is een lek dat grofweg een maand geleden is ontdekt. In eerste instantie leek de kwetsbaarheid slechts op kleine schaal te worden uitgebuit door aanvallers. Nu is er dus alsnog een omvangrijke aanvalscampagne ontdekt die gebruik maakt van het beveiligingsprobleem.
Tienduizenden appliances zijn kwetsbaar
In totaal zijn volgens cijfers van Fox-IT wereldwijd 31.127 NetScaler appliances kwetsbaar voor het lek. Op 14 augustus waren 1.828 appliances van een backdoor voorzien. Hiervan zijn 1.248 voor CVE-2023-3519 gepatcht. Fox-IT waarschuwt dat ook een gepatchte NetScaler-appliance nog een backdoor kan bevatten. Het adviseert daarom een controle op Indicators of Compromise uit te voeren, ongeacht of de patch is geïnstalleerd. Het stelt een Python-script beschikbaar dat dit mogelijk maakt. Ook wijst het op een bash-script van Mandiant dat live-systemen kan controleren op Indicators of Compromise.
Getroffen partijen zijn door de DIVD gewaarschuwd voor hun kwetsbare NetScaler appliances.
Meer over Security
Over Wouter Hoeffnagel
