De kwetsbaarheden in Citrix NetScaler Gateway en NetScaler ADC zijn niet volledig op te lossen met de uitgebrachte patches. Het vereist nog meer stappen, waarvoor Mandiant een plan heeft uitgebracht.
Onlangs patchte Citrix de zeer kritieke CVE-2023-4966 voor NetScaler Gateway en NetScaler ADC. Deze kwetsbaarheid maakt het mogelijk op afstand en zonder menselijke tussenkomst de versleutelde communicatie tussen devices te onderscheppen. Hierdoor zijn hackers in staat informatie te stelen of systemen over te nemen voor verdere malafide acties.
De kwetsbaarheid wordt sinds augustus dit jaar actief misbruikt
Patch niet afdoende
De uitgebrachte patch blijkt echter niet afdoende te zijn, geeft securitybedrijf Mandiant aan. Uit aanvullend onderzoek blijkt dat een succesvolle inbreuk ervoor zorgt dat kwaadwillenden bestaande authenticatie-sessies kunnen kapen. Hiervoor omzeilen zij multi-factor authenticatie en andere strenge authenticatievereisten.
Na het toepassen van de patch, kunnen deze toegangsmogelijkheden echter blijven bestaan, geeft Mandiant aan. Daarnaast is het mogelijk dat sessiekapingen toch plaatsvinden omdat de daarvoor benodigde sessiegegevens eerder zijn gestolen voordat de patch werd uitgevoerd en dus nog steeds kunnen worden misbruikt.
Nog meer toegang mogelijk
De geauthenticeerde sessiekapingen kunnen vervolgens weer leiden tot verdere ‘downstream’-toegang op basis van verkregen permissies. Dit kan weer leiden tot diefstal van meer inloggegevens, laterale aanvallen en het krijgen van toegang tot meer bronnen binnen de getroffen IT-omgeving.
Mandiant heeft daarom voor de CVE-2023-4966 kwetsbaarheid in de Citrix-oplossingen een compleet aanvullend stappenplan uitgebracht.
Lees ook: Alweer grote kwetsbaarheid in NetScaler Gateway en ADC
23 uur geleden
