Bedrijven met een kwetsbare Citrix Netscaler-server worden aangespoord om zo snel mogelijk de patch te installeren, maar dat slechts een deel van de oplossing.
Citrix rolde eind oktober een patch uit tegen CVE-2023-4966, een kwetsbaarheid die ook gekend staat als ‘Citrix Bleed’. De kwetsbaarheid treft verschillende modellen van Citrix NetScaler ADC en NetScaler Gateway, in ons eerder artikel hierover zie je het overzicht. Een week geleden waren minstens tienduizend servers nog steeds kwetsbaar en er zijn ook al slachtoffer gevallen, waarvan Boeing wellicht de bekendste naam is. In een blog herhaalt Citrix om actie te ondernemen.
Dat begint uiteraard met het installeren van de patch, maar anders dan bij vele kwetsbaarheden is dat deze keer maar een doekje tegen het bloeden. Citrix zegt dat het ook nodig is om alle actieve gebruikerssessies te verwijderen. Die waarschuwing gaf Citrix ook al in oktober maar lijkt niet door iedereen begrepen te zijn.
Met tokens aan de haal
De bug kan namelijk authenticatietokens voor de Citrix NetScaler-software doen uitlekken. Aanvallers krijgen toegang tot het geheugen van de server waar ze kunnen graven naar opgeslagen tokens. Die tokens zijn legitiem en zo kunnen aanvallers zich voordoen als een erkende gebruiker om onder de radar te blijven. Gestolen tokens blijven ook na een patch actief.
lees ook
Hackers komen niet meer langs de achterdeur, maar door je voordeur naar binnen
Patchen is dus essentieel, maar patchen alleen is niet voldoende om het bloeden van je server te stoppen. IT-beheerders moeten in de logs opzoek gaan naar verdacht gedrag dat via legitieme tokens is geauthentiseerd, en iedereen doet er goed aan om sessies te resetten. Citrix deelt daarvoor de volgende commando’s:
kill aaa session -all
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
clear lb persistentSessions