Chinese hackers zouden sinds mei al een achterdeur hebben geplaatst in Citrix Netscaler-systemen. Citrix wordt verweten deze onder de mat te hebben geveegd.
Dat Citrix-systemen al enkele maanden actief onder vuur worden genomen door hackers, is geen toeval volgens Kevin Beaumont. De beveiligingsspecialist volgt de kwetsbaarheden al enkele maanden actief op. In een nieuw rapport beschrijft hij dat de achterdeur van Citrix NetScaler in mei werd al opengezet door Chinese hackers.
De kwetsbaarheid in kwestie zat in een authenticatiecomponent. Aanvallers maakten via deze ingang misbruik van het systeem om aangepaste backdoors te installeren. De aanval wijst op gelijkenissen met eerder toegeschreven campagnes aan Volt Typhoon, een groep die in verband wordt gebracht met cyberspionage. De technische aanvalsketen is complex en richt zich op langdurige toegang, zonder tekenen van ransomware of financiële motieven.
Boter op het hoofd
Beaumont verwijt Citrix dat het de impact van het lek bewust onder de radar hield. Zo werden detectiescripts enkel onder geheimhoudingsverklaring met klanten gedeeld. Tot op heden hebben zowel autoriteiten hierover geen publieke richtlijnen gepubliceerd. Ook zou Citrix te beperkte hulpmiddelen hebben aangereikt. De achterdeur werd geïnstalleerd op een moment dat er nog geen patch beschikbaar was.
Beaumont roept op tot meer transparantie van Citrix en wijst op de nood aan betere beveiliging van netwerkapparatuur aan de rand van bedrijfsnetwerken. Hij pleit om Netscaler-systemen beter te onderzoeken op sporen van compromittering.
Organisaties die gebruikmaken van Citrix Netscaler doen er goed aan hun systemen proactief te scannen op deze aanwijzingen en contact op te nemen met hun beveiligingspartner. Verdachte systemen moeten grondig onderzocht worden, ook als eerder een patch is toegepast. De aanval laat immers sporen na die een eenvoudige update niet verwijdert.
Citrix Bleed 2
Ondertussen zijn er meerdere patches beschikbaar voor gecompromitteerde Citrix Netscaler-producten, maar voor veel organisaties is het kwaad al geschied. De kwetsbaarheden worden actief uitgebuit en experten spreken al over ‘Citrix Bleed 2’. In 2023 werd Citrix Netscaler al eens massaal aangevallen door een zeroday-lek.
In Europa zijn vandaag nog duizenden systemen kwetsbaar. Bedrijven die de beschikbare patches nog niet installeerden, maken daar maar beter zo snel mogelijk werk van, want de deur van je Citrix Netscaler-server staat wagenwijd open.