Cybersecuritybedrijf Mandiant zegt dat Een Zeroday Exploit in Citrix Netscaler die vorige week werd gemeld al sinds augustus actief wordt misbruikt door hackers. Door deze kwetsbaarheid is het mogelijk multifactorauthenticatie te omzeilen en vertrouwelijke informatie buit te maken. Het wordt dan ook aangeraden om de beschikbare patch zo snel mogelijk te installeren.
Dat meldt het beveiligingsbedrijf in een blog.
Geauthenticeerde sessies kapen
Het gaat om een zeroday exploit in twee producten: Citrix NetScaler ADC en Citrix NetScaler Gateway. Citrix NetScaler ADC is een Active Domain Controller server die bedrijven tussen hun servers en het internet plaatsen om inkomend netwerkverkeer te verdelen over de beschikbare servers. Op deze manier blijven de websites en applicaties die een bedrijf beheert toegankelijk blijven voor bezoekers. Citrix NetScaler Gateway is software die ervoor zorgt dat medewerkers van afstand toegang hebben tot bedrijfsapplicaties en andere onderdelen van het bedrijfsnetwerk.
Dinsdag 10 oktober maakte Citrix via een Security Advisory bekend dat beide producten een ernstige kwetsbaarheid bevatten. Hackers en andere kwaadwillenden kunnen met deze exploit geauthenticeerde sessies kapen om zo tweestapsverificatie of andere beveiligingsmaatregelen te omzeilen.
Kwetsbaarheid biedt toegang tot vertrouwelijke gegevens
Beveiligingsonderzoekers van Mandiant zeggen dat hackers die op deze manier toegang krijgen tot een bedrijfsnetwerk hun privileges kunnen vergroten. Met andere woorden, door deze kwetsbaarheid is het mogelijk om toegang te krijgen tot andere onderdelen van het bedrijfsnetwerk en daarmee vertrouwelijke of privacygevoelige informatie die een bedrijf verwerkt.
In praktijk is dat al meer dan eens gebeurd, zo schrijft Mandiant. Het cybersecuritybureau zegt dat ze sinds afgelopen augustus meerdere malen heeft geconstateerd dat hackers via deze kwetsbaarheid professionele dienstverleners, technologiebedrijven en overheidsorganisaties hebben aangevallen.
De kwetsbaarheid staat beter bekend als CVE-2023-4966, maar werkt alleen als Citrix NetScaler ADC en Citrix NetScaler Gateway zijn geconfigureerd als VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy of AAA Virtual Server. Deze exploit heeft een CVSS-score van 9,4 gekregen. Zowel Citrix als Mandiant adviseert organisaties die met deze producten werken om zo snel mogelijk de meest recente beveiligingspatch te installeren.
Citrix waarschuwde afgelopen zomer nog voor drie zeroday exploits
Het is niet de eerste keer dat NetScaler-producten een zeroday exploit bevatten. Afgelopen juli waarschuwden Citrix en het Nationaal Cyber Security Centrum (NCSC) voor drie ernstige kwetsbaarheden in deze productgroep.
Hackers en cybercriminelen konden deze kwetsbaarheden misbruiken om een cross-site scripting aanval (XSS-attack) uit te voeren. Aanvallers kunnen deze methode tevens gebruiken om malware verspreiden of gebruikersgegevens te achterhalen. Tevens was het door de exploits mogelijk om root-rechten te verkrijgen om zo vertrouwelijke gegevens buit te maken, en van afstand ongeoorloofde Remote Code Execution (RCE) uit te voeren.
Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorgsector, raadde zorginstellingen aan om de beschikbaar gestelde beveiligingsupdate zo snel mogelijk te installeren.
