Citrix Bleed-sårbarhed

Sidst opdateret:
23. oktober 2024

Kort baggrund for Citrix-blødning

Citrix Bleed, en kritisk sårbarhed i Citrix NetScaler®, har fået betydelig dækning i computerbranchens publikationer. Dette indlæg vil give baggrundsviden om Citrix Bleed, og hvorfor historien fortsat dækkes flere måneder efter, at sårbarheden blev opdaget.

Indledende opdagelse og afhjælpning

Den 18. juli 2023 annoncerede Cloud Software Group (CSG), som er resultatet af fusionen mellem Citrix® og TIBCO® i 2022, tre kritiske sårbarheder opdaget i kundeadministrerede NetScaler® ADC og NetScaler Gateway som en sikkerhedsbulletin i Citrix Knowledge Center. Ifølge bulletinen var den mest kritiske sårbarhed, CVE-2023-3519, allerede blevet udnyttet.

På det tidspunkt anbefalede CSG, at der blev installeret opdaterede versioner af NetScaler ADC- og Gateway-software på apparater, der ikke var begrænset, og frigav også sikkerhedsopdateringer og opfordrede kunderne til at anvende rettelserne så hurtigt som muligt.

Den 20. juli 2023 udsendte Cybersecurity and Infrastructure Security Agency (CISA), en del af USA's Department of Homeland Security (DHS), en Cybersecurity Advisory, der anerkendte, at CVE-2023-3519 var blevet udnyttet mod en amerikansk organisation med kritisk infrastruktur i juni 2023 og rapporteret til CISA i juli. (BEMÆRK: CVE-identifikatorer tildeles af en af ca. 100 CVE Numbering Authorities (CNA'er); MITRE Corporation er redaktør og primær CNA for organisationen).

I denne exploit smed hackerne en web shell (malware, der giver fjernadgang til en webserver) på organisationens NetScaler ADC-appliance. Denne handling gjorde det muligt for hackerne at stjæle data fra organisationens Active Directory (AD), herunder oplysninger om brugere, grupper, applikationer og enheder på netværket.

Heldigvis var det angrebne apparat isoleret i organisationens netværk, så hackerne var ikke i stand til at kompromittere domænecontrolleren, som leverer godkendelses- og autorisationstjenester til AD-domænet. Organisationen var i stand til at afværge hackerne og begrænse angrebet.

På det tidspunkt vurderede Shadowserver Foundation, at mere end 15.000 Citrix-servere på verdensplan risikerede at blive kompromitteret, hvis der ikke blev anvendt patches.

Udvikling til Citrix Bleed

Den 10. oktober 2023 afslørede CSG en ny sårbarhed i kundeadministrerede NetScaler ADC- og NetScaler Gateway-enheder. Sårbarheden, der blev tildelt identifikatoren CVE-2023-4966, fik det fælles navn Citrix Bleed, som hentyder til en berygtet sårbarhed fra 2014 kaldet Heartbleed, som blev udnyttet i stor stil og gjorde det muligt for hackere at stjæle følsomme oplysninger som adgangskoder, krypteringsnøgler og bankoplysninger.

Citrix Bleed gør det muligt for uautoriserede fjernangribere at udtrække data fra en sårbar NetScaler-enheds hukommelse, herunder følsomme sessionstokens. Det er alarmerende, at det er ret enkelt at udnytte sårbarheden, og det gør det muligt for en hacker at tage kontrol over det netværk, der administreres af NetScaler-enheden, og bruge sessionstokens, der godkender brugeranmodninger og giver adgang til brugerdata uden brug af adgangskode eller to-faktor-godkendelse.

CSG udsendte patches til Citrix Bleed, men opdaterede den 17 . oktober sin sikkerhedsadvarsel for at afsløre, at de havde observeret udnyttelse i naturen - dvs. bevis for, at sårbarheden allerede blev udnyttet i mange organisationer. Faktisk opdagede nogle cybersikkerhedsfirmaer, at sårbarheden blev udnyttet så tidligt som i slutningen af august.

Citrix Bleed Exploits er sandsynligvis i gang

I skrivende stund har mange store organisationer afsløret sikkerhedsbrud, der er muliggjort af Citrix Bleed, herunder Boeing og Xfinity. Der er flere trusselsgrupper, som aktivt arbejder på at fortsætte med at udnytte Citrix Bleed til at få fat i følsomme oplysninger, som de kan sælge, kræve løsepenge for eller udnytte som en del af en efterretningsoperation. Og så længe disse grupper fortsætter med at udnytte Citrix Bleed, vil branchemedierne fortsætte med at dække de resulterende brud.

Hvorfor forsøger disse grupper stadig at udnytte Citrix Bleed? Som nævnt ovenfor er Citrix Bleed let at udnytte, hvis en organisation har forsømt at anvende den relevante patch - men ud over at anvende patchen skal IT også ugyldiggøre aktive og vedvarende sessionstokens, før enheden genstartes. Denne ugyldiggørelse forhindrer en hacker i at få adgang til gyldige sessionstokens i hukommelsen og bruge dem til at tage kontrol over aktive sessioner og få adgang til følsomme brugeroplysninger.

Fordi Citrix Bleed er så let at udnytte, bør enhver organisation, der bruger NetScaler, antage, at deres enhed(er) er blevet kompromitteret, sikre, at alle relevante patches er blevet anvendt, og at sessionstokens er ugyldige. Derudover bør IT undersøge alle netværksenheder og hele infrastrukturen for tegn på kompromittering - en række sikkerhedsfirmaer har udgivet gratis detaljerede sikkerhedsvejledninger for at hjælpe.

Hvad bliver det næste?

For Citrix-kunder - især dem, der bruger NetScaler i deres computerinfrastruktur - har Citrix Bleed været en rystende oplevelse. Nogle af dem sætter derfor spørgsmålstegn ved, om Citrix' nylige opkøb og fusion med TIBCO distraherede NetScaler-produktteamet og forsinkede deres erkendelse af flere kritiske sikkerhedsbrister i deres produkter. Nogle Citrix/CSG-kunder spekulerer måske på, om andre elementer i Citrix/CSG's meget komplekse infrastruktur kan være i fare.

Hvis du er en ISV eller MSP, der revurderer din brug af Citrix til at levere Windows-applikationer til kunder, eller ønsker at reducere kompleksiteten i din computerinfrastruktur til slutbrugere eller reducere dine omkostninger til levering af Windows-applikationer, bør du overveje GO-Global.

Med GO-Global applikationspublicering kører Windows-applikationer på en server, som kan installeres i en hvilken som helst offentlig, privat eller hybrid sky. GO-Global udnytter derefter dine cloud-tjenesters eksisterende infrastruktur og sikkerheds- og skalerbarhedsfunktioner til at levere avanceret funktionalitet med mindre kompleksitet, lavere omkostninger og lavere risiko.

For sikkerhedsbevidste organisationer understøtter GO-Global tofaktorgodkendelse og er den eneste løsning til udgivelse af Windows-applikationer, der giver Single Sign-On-understøttelse af OpenID® Connect (OIDC), som gør det muligt for organisationer at bruge OIDC-identitetsudbydere som Okta® og Microsoft® Active Directory Federated Services (ADFS) til single sign-on på GO-Global Windows-værter.

På trods af den lave pris leverer GO-Global skalerbarhed på virksomhedsniveau, men er nem at installere, konfigurere og bruge og giver en god brugeroplevelse, herunder hurtige logins og minimal ventetid, selv over forbindelser med lav båndbredde.

Reducer kompleksiteten. Reducer omkostningerne. Reducer risikoen.

Få fat i GO-Global.

Hvis du vil vide mere, kan du anmode om en demo her eller downloade en gratis 30-dages prøveversion.