De kwetsbaarheid van Citrix Bleed

Laatst bijgewerkt:
23 oktober 2024

Korte achtergrond van Citrix Bloedverlies

Citrix Bleed, een kritieke kwetsbaarheid in Citrix NetScaler®, heeft veel aandacht gekregen in publicaties over de computerindustrie. In dit bericht wordt achtergrondinformatie gegeven over Citrix Bleed en waarom het verhaal nog steeds wordt behandeld, maanden nadat de kwetsbaarheid werd ontdekt.

Eerste ontdekking en verzachting

Op 18 juli 2023 kondigde Cloud Software Group (CSG), het bedrijf dat is ontstaan uit de fusie tussen Citrix® en TIBCO® in 2022, drie kritieke kwetsbaarheden aan die waren ontdekt in door klanten beheerde NetScaler® ADC en NetScaler Gateway in de vorm van een beveiligingsbulletin in het Citrix Knowledge Center. Volgens het bulletin was de meest kritieke kwetsbaarheid, CVE-2023-3519, al misbruikt.

Op dat moment adviseerde CSG om bijgewerkte versies van NetScaler ADC en Gateway software te installeren op appliances die nog niet in gebruik waren. CSG bracht ook beveiligingsupdates uit en drong er bij klanten op aan om de patches zo snel mogelijk toe te passen.

Op 20 juli 2023 gaf het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse Ministerie van Binnenlandse Veiligheid (DHS), een Cybersecurity Advisory uit waarin werd erkend dat CVE-2023-3519 in juni 2023 was misbruikt tegen een Amerikaanse organisatie voor kritieke infrastructuur en in juli aan CISA was gerapporteerd. (OPMERKING: CVE-aanduidingen worden toegewezen door een van de ongeveer 100 CVE-nummeringsautoriteiten (CNA's); MITRE Corporation is de uitgever en primaire CNA voor de organisatie).

Bij deze exploit dropten de hackers een webshell (malware waarmee op afstand toegang kan worden verkregen tot een webserver) op de NetScaler ADC appliance van de organisatie. Hierdoor konden de hackers gegevens stelen uit de Active Directory (AD) van de organisatie, waaronder informatie over gebruikers, groepen, applicaties en apparaten op het netwerk.

Gelukkig was de appliance die het doelwit was, geïsoleerd binnen het netwerk van de organisatie, zodat de hackers niet in staat waren om de domeincontroller te compromitteren, die authenticatie- en autorisatieservices levert voor het AD-domein. De organisatie kon de hackers afweren en de aanval beperken.

Op dat moment schatte de Shadowserver Foundation dat meer dan 15.000 Citrix-servers wereldwijd gevaar liepen als er geen patches werden toegepast.

Evolutie naar Citrix Bleed

Op 10 oktober 2023 onthulde CSG een nieuw lek in door klanten beheerde NetScaler ADC- en NetScaler Gateway-apparaten. Deze kwetsbaarheid, die de identificatie CVE-2023-4966 kreeg, kreeg de algemene naam Citrix Bleed, die verwijst naar een beruchte kwetsbaarheid uit 2014 genaamd Heartbleed, die uitgebreid werd misbruikt en waarmee hackers gevoelige informatie konden stelen, zoals wachtwoorden, encryptiesleutels en bankgegevens.

Citrix Bleed stelt ongeautoriseerde aanvallers op afstand in staat om gegevens uit het geheugen van een kwetsbaar NetScaler-apparaat te halen, waaronder gevoelige sessietokens. Het is alarmerend dat het gebruik van de kwetsbaarheid vrij eenvoudig is en een hacker in staat stelt om de controle over het netwerk over te nemen dat wordt beheerd door het NetScaler-apparaat en gebruik te maken van sessietokens waarmee gebruikersverzoeken kunnen worden geverifieerd en toegang kan worden verkregen tot gebruikersgegevens zonder een wachtwoord nodig te hebben of gebruik te maken van twee-factor authenticatie.

CSG bracht patches uit voor Citrix Bleed, maar paste op17 oktober zijn beveiligingswaarschuwing aan om bekend te maken dat het uitbuiting in het wild had waargenomen - d.w.z. bewijs dat de kwetsbaarheid al bij veel organisaties werd misbruikt. Sommige cyberbeveiligingsbedrijven ontdekten zelfs al eind augustus dat de kwetsbaarheid werd misbruikt.

Citrix Bleed-exploits zijn waarschijnlijk aan de gang

Op het moment van schrijven hebben veel grote organisaties beveiligingslekken onthuld die mogelijk zijn gemaakt door Citrix Bleed, waaronder Boeing en Xfinity. Er zijn verschillende bedreigingsgroepen actief bezig om Citrix Bleed te blijven misbruiken om gevoelige informatie te verkrijgen om te verkopen, voor losgeld te houden of te gebruiken als onderdeel van een operatie om inlichtingen te verzamelen. En zolang deze groepen gebruik blijven maken van Citrix Bleed, zullen de media in de sector aandacht blijven besteden aan de resulterende inbreuken.

Waarom proberen deze groepen nog steeds Citrix Bleed uit te buiten? Zoals hierboven vermeld, is Citrix Bleed eenvoudig te misbruiken als een organisatie heeft verzuimd om de juiste patch toe te passen - maar naast het toepassen van de patch moet IT ook actieve en persistente sessietokens ongeldig maken voordat het apparaat opnieuw wordt opgestart. Deze ongeldigmaking voorkomt dat een hacker toegang krijgt tot geldige sessietokens in het geheugen en deze gebruikt om de controle over actieve sessies over te nemen en toegang te krijgen tot gevoelige gebruikersinformatie.

Omdat Citrix Bleed zo eenvoudig te misbruiken is, moet elke organisatie die NetScaler gebruikt ervan uitgaan dat hun apparaten zijn gecompromitteerd en ervoor zorgen dat alle juiste patches zijn toegepast en sessietokens ongeldig zijn gemaakt. Daarnaast moet IT alle netwerkapparaten en de gehele infrastructuur onderzoeken op tekenen van compromittering - een aantal beveiligingsbedrijven heeft gratis gedetailleerde beveiligingsrichtlijnen gepubliceerd om te helpen.

Wat nu?

Voor Citrix klanten - vooral degenen die NetScaler in hun computerinfrastructuur gebruiken - is Citrix Bleed een schrijnende ervaring geweest. Als gevolg daarvan kunnen sommigen van hen zich afvragen of Citrix' recente overname en fusie met TIBCO het NetScaler productteam heeft afgeleid en hun herkenning van verschillende kritieke beveiligingslekken in hun producten heeft vertraagd. Sommige Citrix/CSG klanten kunnen zich afvragen of andere elementen van Citrix/CSG's zeer complexe infrastructuur gevaar lopen.

Als u een ISV of MSP bent die het gebruik van Citrix voor het leveren van Windows-applicaties aan klanten heroverweegt, de complexiteit van de computerinfrastructuur voor eindgebruikers wil verminderen of de kosten voor het leveren van Windows-applicaties wil verlagen, overweeg dan GO-Global.

Met GO-Global application publishing draaien Windows-toepassingen op een server die kan worden geïnstalleerd in een publieke, private of hybride cloud. GO-Global maakt vervolgens gebruik van de bestaande infrastructuur en beveiligings- en schaalbaarheidsfuncties van uw cloudservices om geavanceerde functionaliteit te leveren met minder complexiteit, lagere kosten en minder risico.

Voor beveiligingsbewuste organisaties ondersteunt GO-Global tweefactorauthenticatie en is het de enige oplossing voor het publiceren van Windows-toepassingen die ondersteuning biedt voor eenmalige aanmelding voor OpenID® Connect (OIDC), waardoor organisaties OIDC-identiteitsproviders zoals Okta® en Microsoft® Active Directory Federated Services (ADFS) kunnen gebruiken voor eenmalige aanmelding bij GO-Global Windows-hosts.

Ondanks de lage kosten levert GO-Global schaalbaarheid op bedrijfsniveau, maar is het eenvoudig te installeren, configureren en gebruiken en biedt het een geweldige gebruikerservaring, inclusief snelle aanmeldingen en minimale latentie, zelfs bij verbindingen met lage bandbreedte.

Verminder complexiteit. Kosten verlagen. Risico's verminderen.

Ontvang GO-Global.

Vraag hier een demo aan of download een gratis proefversie van 30 dagen voor meer informatie.