Citrix Bleed-sårbarhet

Sist oppdatert:
23. oktober 2024

Kort bakgrunn for Citrix Bleed

Citrix Bleed, en kritisk sårbarhet i Citrix NetScaler®, har fått betydelig dekning i publikasjoner innen databransjen. Dette innlegget vil gi bakgrunnsinformasjon om Citrix Bleed og hvorfor historien fortsatt dekkes måneder etter at sårbarheten ble oppdaget.

Innledende oppdagelse og avbøtende tiltak

Den 18. juli 2023 annonserte Cloud Software Group (CSG), selskapet som ble et resultat av fusjonen mellom Citrix® og TIBCO® i 2022, tre kritiske sårbarheter som ble oppdaget i kundeadministrerte NetScaler® ADC og NetScaler Gateway som en sikkerhetsbulletin i Citrix Knowledge Center. Ifølge bulletinen var den mest kritiske sårbarheten, CVE-2023-3519, allerede utnyttet.

På den tiden anbefalte CSG at oppdaterte versjoner av NetScaler ADC og Gateway-programvaren skulle installeres på uforbeholdne apparater, og de ga også ut sikkerhetsoppdateringer, og oppfordret kundene til å installere oppdateringene så snart som mulig.

Den 20. juli 2023 utstedte Cybersecurity and Infrastructure Security Agency (CISA), en del av USAs Department of Homeland Security (DHS), en cybersikkerhetsveiledning som bekreftet at CVE-2023-3519 hadde blitt utnyttet mot en amerikansk kritisk infrastrukturorganisasjon i juni 2023 og rapportert til CISA i juli. (MERK: CVE-identifikatorer tildeles av en av omtrent 100 CVE-nummereringsmyndigheter (CNAer); MITRE Corporation er redaktør og primær CNA for organisasjonen.)

I denne utnyttelsen slapp hackerne et web shell (skadelig programvare som gir ekstern tilgang til en webserver) på organisasjonens NetScaler ADC-enhet. Denne handlingen gjorde det mulig for hackerne å stjele data fra organisasjonens Active Directory (AD), inkludert informasjon om brukere, grupper, applikasjoner og enheter på nettverket.

Heldigvis var den angrepne enheten isolert innenfor organisasjonens nettverk, slik at hackerne ikke klarte å kompromittere domenekontrolleren, som tilbyr autentiserings- og autorisasjonstjenester for AD-domenet. Organisasjonen klarte å avverge hackerne og begrense angrepet.

På den tiden anslo Shadowserver Foundation at mer enn 15 000 Citrix-servere over hele verden risikerte å bli kompromittert med mindre det ble installert oppdateringer.

Utvikling til Citrix Bleed

10. oktober 2023 avslørte CSG en ny sårbarhet i kundeadministrerte NetScaler ADC- og NetScaler Gateway-enheter. Denne sårbarheten, tildelt identifikatoren CVE-2023-4966, fikk fellesnavnet Citrix Bleed, som hentyder til en beryktet sårbarhet fra 2014 kalt Heartbleed, som ble utnyttet i stor grad og tillot hackere å stjele sensitiv informasjon som passord, krypteringsnøkler og bankopplysninger.

Citrix Bleed lar eksterne, uautoriserte angripere hente ut data fra minnet til en sårbar NetScaler-enhet, inkludert sensitive økttokener. Alarmerende nok er det ganske enkelt å utnytte sårbarheten, og den lar en hacker ta kontroll over nettverket som administreres av NetScaler-enheten, og bruke økttokener som autentiserer brukerforespørsler og gir tilgang til brukerdata uten behov for passord eller bruk av tofaktorautentisering .

CSG utstedte oppdateringer for Citrix Bleed, men oppdaterte 17. oktober sikkerhetsveiledningen sin for å avsløre at de hadde observert utnyttelse i praksis – dvs. bevis på at sårbarheten allerede ble utnyttet i mange organisasjoner. Faktisk oppdaget noen cybersikkerhetsfirmaer at sårbarheten ble utnyttet så tidlig som i slutten av august.

Citrix Bleed-utnyttelser pågår sannsynligvis

I skrivende stund har mange store organisasjoner avslørt sikkerhetsbrudd muliggjort av Citrix Bleed, inkludert Boeing og Xfinity. Det finnes flere trusselgrupper som aktivt jobber med å fortsette å utnytte Citrix Bleed for å tilegne seg sensitiv informasjon for å selge, holde som løsepenger eller utnytte den som en del av en etterretningsinnsamlingsoperasjon. Og så lenge disse gruppene fortsetter å utnytte Citrix Bleed, vil bransjemediene fortsette å dekke de resulterende bruddene.

Hvorfor prøver disse gruppene fortsatt å utnytte Citrix Bleed? Som nevnt ovenfor er Citrix Bleed lett å utnytte hvis en organisasjon har unnlatt å installere riktig oppdatering – men i tillegg til å installere oppdateringen må IT også ugyldiggjøre aktive og vedvarende økttokener før enheten startes på nytt. Denne ugyldiggjøringen hindrer en hacker i å få tilgang til gyldige økttokener i minnet og bruke dem til å ta kontroll over aktive økter og få tilgang til sensitiv brukerinformasjon.

Fordi Citrix Bleed er så enkelt å utnytte, bør enhver organisasjon som bruker NetScaler anta at enheten(e) deres har blitt kompromittert, sørge for at alle nødvendige oppdateringer er installert og at økttokener er ugyldiggjort. I tillegg bør IT granske alle nettverksenheter og hele infrastrukturen for tegn på kompromittering – en rekke sikkerhetsfirmaer har publisert gratis detaljert sikkerhetsveiledning for å hjelpe.

Hva nå?

For Citrix-kunder – spesielt de som bruker NetScaler i datainfrastrukturen sin – har Citrix Bleed vært en rystende opplevelse. Som et resultat av dette kan noen av dem stille spørsmål ved om Citrix' nylige oppkjøp og fusjon med TIBCO distraherte NetScaler-produktteamet og bremset deres gjenkjenning av flere kritiske sikkerhetsfeil i produktene deres. Noen Citrix/CSG-kunder lurer kanskje på om andre elementer i Citrix/CSGs svært komplekse infrastruktur kan være i faresonen.

Hvis du er en ISV eller MSP som revurderer bruken av Citrix for å levere Windows-applikasjoner til kunder, eller ønsker å redusere kompleksiteten i sluttbrukerens datainfrastruktur eller kutte kostnader for levering av Windows-applikasjoner, bør du vurdere GO-Global.

Med GO-Global applikasjonspublisering kjører Windows-applikasjoner på en server som kan installeres i en hvilken som helst offentlig, privat eller hybrid sky. GO-Global utnytter deretter skytjenestenes eksisterende infrastruktur og sikkerhets- og skalerbarhetsfunksjoner for å levere avansert funksjonalitet med mindre kompleksitet, lavere kostnader og lavere risiko.

For sikkerhetsbevisste organisasjoner støtter GO-Global tofaktorautentisering og er den eneste publiseringsløsningen for Windows-applikasjoner som tilbyr støtte for enkel pålogging for OpenID® Connect (OIDC), som gjør det mulig for organisasjoner å bruke OIDC-identitetsleverandører som Okta® og Microsoft® Active Directory Federated Services (ADFS) for enkel pålogging til GO-Global Windows-verter.

Til tross for den lave kostnaden leverer GO-Global skalerbarhet på bedriftsnivå, men er enkel å installere, konfigurere og bruke, og gir en flott brukeropplevelse, inkludert raske pålogginger og minimal ventetid, selv over tilkoblinger med lav båndbredde.

Reduser kompleksitet. Reduser kostnader. Reduser risiko.

Skaff deg GO-Global.

For å lære mer, be om en demo her eller last ned en gratis 30-dagers prøveversjon .