2min

Tags in dit artikel

, , , ,

De Amerikaanse veiligheids- en inlichtingendienst NSA waarschuwt dat hackers zero days misbruiken in Citrix-netwerkapparatuur. Het gaat om kwetsbaarheden in Citrix application delivery controller (ADC) en Gateway.

Volgens de veiligheids- en inlichtingendienst is APT5, een vermoedelijk Chinese hackersgroep, bezig met het uitbuiten van kwetsbaarheid CVE-2022-27518. APT5 heeft het vaak voorzien op overheidsinstanties, telecomoperators en andere technologiebedrijven.

De kwetsbaarheid is aanwezig in de builds 12.1 (inclusief FIPS en NDcPP) en 13.0 voor versie 13.0-58.32 van Citrix ADC en Citrix Gateway. Kwaadwillenden kunnen toegang krijgen tot de systemen van bedrijven en organisaties die de ADC’s en Gateways gebruiken door normale authenticatiefunctionaliteit te omzeilen.

Citrix is op de hoogte van de kwetsbaarheid in ADC’s en Gateways. Het virtualisatiebedrijf heeft inmiddels een patch uitgebracht. Het roept gebruikers op zo snel mogelijk te upgraden.

Advies NSA

De Amerikaanse veiligheids- en inlichtingendienst adviseert bedrijven verder een stappenplan te volgen om de inbreuken te voorkomen. Zo wordt onder meer geadviseerd ieder positief resultaat uit een scan van de systemen te onderzoeken. Ook moeten zij hun ‘key executables’ regelmatig goed checken op afwijkingen van bekende goede kopieën van hun belangrijkste binaries. Cybercriminelen willen legitieme binaries nogal eens aanpassen.

Ook doen bedrijven er verstandig aan vaker snapshots van hun omgevingen te maken. Ze kunnen vaker logs inzien om informatie over mogelijke aanvallen boven water te halen.

Wanneer de onderzoeken inderdaad afwijkende zaken oplevert, moeten bedrijven al hun Citrix ADC’s achter een VPN of andere toepassing zetten die een geldige gebruikersauthenticatie (ideaal multi-factorauthenticatie) nodig heeft. Dit moet gebeuren voordat men tot de getroffen ADC of Gateway toegang zoekt.

Daarnaast moeten zij de betreffende Citrix ADC en Gateway appliances isoleren van de rest van de IT-omgeving om ervoor te zorgen dat de kwaadaardige activiteiten binnen de perken worden gehouden. Ten slotte moeten zij hun Citrix ADC’s of Gateways weer naar een goede status herstellen.

De NSA roept bedrijven op inzichten en ontdekkingen van dit soort aanvallen te melden bij het NSA Cybersecurity Collaboration Center.

Tip: Citrix zet vol in op Workspace, maar is het overtuigend?