Hoewel een kritieke bug in Citrix Netscaler ADC en Netscaler Gateway gepatcht kan worden, zetten steeds meer cybercriminelen succesvolle aanvalscampagnes op via het lek.
Steeds meer aanvallers maken gretig gebruik van Citrix Bleed. Dat is een bug die al sinds juli bekend is, en volgnummer CVE-2023-4966 meekreeg. De bug treft net als een eerder lek Citrix NetScaler ADC en NetScaler Gateway. Volgende toestellen zijn vatbaar:
- NetScaler ADC en NetScaler Gateway 14.1 ouder dan 14.1-8.50
- NetScaler ADC en NetScaler Gateway 13.1 ouder dan 13.1-49.15
- NetScaler ADC en NetScaler Gateway 13.0 ouder dan 13.0-92.19
- NetScaler ADC 13.1-FIPS ouder dan 13.1-37.164
- NetScaler ADC 12.1-FIPS ouder dan 12.1-55.300
- NetScaler ADC 12.1-NDcPP ouder dan 12.1-55.300
Er zijn nog duizenden kwetsbare servers aan het publieke internet blootgesteld, en van meer dan honderd individuele IP-adressen gaat ook echt aanvallen uit. Volgens beveiligingsonderzoeker Kevin Baeumont zouden er al meer dan 20.000 Netscaler-servers zijn uitgebuit.
Ransomware
Het gaat dan om servers waarvan tokens zijn gestolen. Die laten aanvallers toe om zich voor te doen als geauthentiseerde gebruiker, om zo data te stelen. Via de bug kunnen hackers in het geheugen naar dergelijke tokens kijken. De tokens zelf zijn legitiem en blijven ook na een patch bestaan. Wanneer ze zijn gestolen, volstaat patchen niet. Het is nodig om actieve sessies te stoppen, zodat nieuwe authenticatietokens worden gegenereerd.
Minstens twee ransomwarebendes maken dankbaar gebruik van de tokens en de ongepatchte servers. Intussen bestaat er al een scriptje dat de aanval automatiseert. Patchen is dus essentieel, maar niet voldoende. IT-beheerders moeten opzoek gaan naar verdacht gedrag dat via legitieme tokens is geauthentiseerd, en iedereen doet er goed aan om sessies te resetten.