Bijna 2.000 Citrix NetScaler-servers zijn gecompromitteerd in een wereldwijde campagne, waarbij aanvallers achterdeurtjes installeren met behulp van een recent ontdekte kritieke bug, vinden onderzoekers.
Kwaadwillende actoren hebben misbruik gemaakt van een bug die is bijgehouden als CVE-2023-3519, waarbij webshells op kwetsbare NetScalers zijn geplaatst om toegang te krijgen. Onderzoekers van cybersecuritybedrijf Fox-IT (onderdeel van de NCC Group) en het Nederlands Instituut voor Vulnerability Disclosure (DIVD) zeggen dat aanvallers commando’s kunnen uitvoeren, zelfs nadat NetScaler is gepatcht.
NetScaler is een op software gebaseerde application delivery controller (ADC)-oplossing die normaal in datacenters is geïnstalleerd om de inkomende verkeersstroom te beheren. De ADC werkt als een soort verkeersagent tussen gebruikers en servers die websites draaien.
Het installeren van achterdeurtjes op NetScaler-instanties biedt veel kansen voor kwaadwillende actoren, omdat ze toegang hebben tot de verkeersstroom, gevoelige gegevens kunnen stelen, verdere aanvallen kunnen lanceren en zelfs verkeer door de ADC kunnen manipuleren.
Onderzoekers ontdekten dat 1.900 NetScalers achterdeurig waren en informeerden de slachtoffers over het probleem. De meerderheid daarvan, bijna 1.300, werd gepatcht voor CVE-2023-3519. Zorgwekkend is dat meer dan 31.000 NetScaler-instanties nog steeds kwetsbaar waren voor de bug.
“Op het moment van schrijven is ongeveer 69% van de NetScalers die een achterdeur bevatten niet meer kwetsbaar voor CVE-2023-3519. Dit geeft aan dat hoewel de meeste beheerders op de hoogte waren van de kwetsbaarheid en sindsdien hun NetScalers hebben gepatcht tot een niet-kwetsbare versie, ze niet (goed) zijn gecontroleerd op tekenen van succesvolle exploitatie”, aldus FoxIt’s blog.
Dit betekent dat sommige systeembeheerders momenteel op een vals gevoel van veiligheid werken, nadat ze het probleem hebben opgelost terwijl ze nog steeds NetScaler-instanties achterdeurs hebben.
Europa lijkt het meest door de kwestie te worden getroffen, waarbij Duitsland bovenaan de lijst van getroffen landen staat, gevolgd door Frankrijk en Zwitserland. Van de top 10 getroffen landen bevinden er slechts twee zich buiten Europa.
