Fox-IT heeft een grote exploitatiecampagne gedetecteerd bij Citrix NetScaler-servers. In samenwerking met het DIVD (Dutch Institute of Vulnerability Disclosure) licht het bedrijf slachtoffers in. De aanvallers konden met hulp van automatiseringstools in twee dagen tijd een reusachtig aantal servers compromitteren. Er bestaan nog veel backdoors, onder andere bij organisaties die de kwetsbaarheid al gepatcht hebben en zich onterecht veilig wanen.
Kwetsbaarheid CVE-2023-3519 kwam in juli aan het licht. Citrix NetScaler-servers konden hierdoor ingezet worden om remote code execution uit te voeren in een bedrijfsomgeving. Normaal gesproken gebruiken bedrijven deze servers om bijvoorbeeld HTPP-redirects en -rewrites te faciliteren, een firewall op te zetten of om load balancing te verzorgen.
De kwetsbaarheid werd actief geëxploiteerd, onder andere door een nog onbekende partij die op 20 en 21 juli een campagne met een wereldwijde impact uitvoerde. Met behulp van automatisering installeerden de kwaadwillenden webshells om later terug te kunnen keren op bedrijfsnetwerken. Al gauw kwam Citrix met een patch en kon het probleem verholpen worden voor organisaties die nog niet getroffen waren. Echter is het goed mogelijk dat een IT-omgeving al een backdoor huisvest: de aanvallers gingen snel te werk, waardoor patchen vaak te laat was. Het is alleen niet eenvoudig om dat met zekerheid te kunnen stellen. Fox-IT en Mandiant hebben daarvoor een oplossing.
Redder in nood
Om organisaties te helpen, produceerde Fox-IT in rap tempo een Python-script die het eigen Dissect gebruikt om triage te verzorgen op forensische images van NetScalers. Met andere woorden: het kan een 1-op-1 kopie onderzoeken op tekenen van backdoors. De reden dat Fox-IT snel kon reageren, was omdat men al expertise had op het gebied van Citrix-kwetsbaarheden en de server-architectuur van dat bedrijf. Ook Mandiant heeft een bash-script aangeleverd dat zoekt naar backdoors. Beide varianten zijn te vinden in de Fox-IT-blog.
Het probleem is daarbij alleen nog niet verholpen: omdat 69 procent van alle gecompromitteerde servers al gepatcht is, zullen veel organisaties niet doorhebben dat ze nog vatbaar zijn. DIVD is al druk bezig geweest met het informeren van slachtoffers, maar het is moeilijk om voor te stellen dat iedereen bereikt kan worden.
De aanvalscampagne: impact groter dan verwacht
Toen Fox-IT op zoek ging naar de impact van de aanvalscampagne, raakte men verbaasd over het formaat ervan. 31.127 NetScalers waren kwetsbaar op 20-21 juli. Bijna 2000 unieke IP-adressen waren voorzien van een backdoor door middel van een webshell. Van alle kwetsbare NetScaler-servers waren er 6,3 procent daadwerkelijk getroffen. Deze gevallen kwamen wereldwijd voor, met een tot nu toe onverklaard zwaartepunt in Europa. De aanvallers waren het meest actief in Duitsland, Frankrijk en Zwitserland. In Nederland zouden er meer dan 100 bekende NetScalers zijn met een backdoor, waarvan 82 procent voorzien is van een patch. Nogmaals, dat betekent niet dat de kust veilig is.
1828 NetScalers bevatten nog steeds een backdoor, waarvan er 1248 gepatcht zijn.
De les die Fox-IT trekt, is de volgende: een edge-device moet zo snel mogelijk een patch ontvangen, want de kans dat er iets snel misgaat is groot. Net als bij een groot cybergevaar als Log4Shell gaan aanvallers snel aan de slag met automatische scanners. Ze hoeven in serieuze gevallen vervolgens geen vinger te verroeren om duizenden organisaties te treffen. Wie niet weet dat men gevaar loopt, kan daarna op welk moment dan ook blootgesteld worden aan de gevolgen ervan.
Lees ook: Nederlandse onderzoekers ontrafelen kwetsbaarheden TETRA-systeem
1 dag geleden
