De CVE-2023-4966-kwetsbaarheid voor Citrix NetScaler ADC en NetScaler Gateway wordt op dit moment massaal misbruikt. Inmiddels staat dit cybergevaar bekend als ‘Citrix Bleed’. De exploitaties vinden ondanks de patch die hiervoor is uitgebracht plaats, concluderen diverse securityspecialisten.
In een onderzoek van 30 oktober signaleerde ShadowServer iets meer dan 5.000 ongepatchte Citrix NetScaler ADC- en Gateway-servers die toegankelijk waren via het publieke internet. Andere onderzoekers spreken van maar liefst 20.000 niet-gepatchte servers.
Onderzoekers van GreyNoise herkennen, op moment van schrijven, ongeveer 64 individuele IP-adressen die probeerden de Citrix-exploit verder uit te buiten.
Onder de hackers die nog ongepatchte Citrix-servers proberen aan te vallen, bevinden zich minimaal twee ransomwarebendes, geeft securityspecialist Kevin Beaumont aan. Eén van deze bendes distribueert een Python-script waarmee aanvallers een aanval op de Citrix-servers kunnen automatiseren.
Ook Mandiant constateert exploits
Ook de specialisten van Mandiant waarschuwen opnieuw dat de Citrix-kwetsbaarheid actief wordt misbruikt. De securityspecialist zou op dit moment een viertal niet-gecategoriseerde hackersbendes traceren die de exploit voor veel bedrijfssectoren misbruiken, waaronder de juridische, tech- en de overheidssectoren. Getroffen regio’s zijn onder andere Noord- en Zuid-Amerika, Europa, het Midden-Oosten, Afrika en Azië – Pacific. Deze hackerbendes zetten de tools csvde.exe, certutil.exe, local.exe en nbtscan.exe in voor het uitvoeren van hun aanvallen op getroffen Citrix-servers.
Patch is beschikbaar
Citrix bracht onlangs een patch uit voor CVE-2023-4966 en adviseerde klanten deze zo snel mogelijk te installeren. De virtualisatie- en cloudspecialist heeft nog niet gereageerd op de recente bevindingen van de securityspecialisten.
Lees ook: Patches voor Citrix NetScaler onvoldoende, meer actie nodig
20 uur geleden
