Kort bakgrund av Citrix Blödning
Citrix Bleed, en kritisk sårbarhet i Citrix NetScaler®, har fått betydande täckning i publikationer för dataindustrin. Det här inlägget kommer att ge bakgrund om Citrix Bleed och varför historien fortsätter att täckas månader efter att sårbarheten upptäcktes.
Initial upptäckt och begränsning
Den 18 juli 2023 tillkännagav Cloud Software Group (CSG), företaget som uppstod genom sammanslagningen av Citrix® och TIBCO® 2022, tre kritiska sårbarheter som upptäcktes i kundhanterade NetScaler® ADC och NetScaler Gateway som en säkerhetsbulletin i Citrix Knowledge Center. Enligt bulletinen hade den mest kritiska sårbarheten, CVE-2023-3519, redan utnyttjats.
Vid den tidpunkten rekommenderade CSG att uppdaterade versioner av NetScaler ADC och Gateway-programvaran skulle installeras på apparater utan begränsning och släppte också säkerhetsuppdateringar och uppmanade kunderna att tillämpa korrigeringarna så snart som möjligt.
Den 20 juli 2023 utfärdade Cybersecurity and Infrastructure Security Agency (CISA), en del av United States Department of Homeland Security (DHS), en cybersäkerhetsrådgivning som bekräftade att CVE-2023-3519 hade utnyttjats mot en amerikansk kritisk infrastrukturorganisation i juni 2023 och rapporterats till CISA i juli. (OBS: CVE-identifierare tilldelas av en av cirka 100 CVE Numbering Authorities (CNA); MITRE Corporation är redaktör och primär CNA för organisationen).
I den här exploateringen släppte hackarna ett webbskal (skadlig kod som möjliggör fjärråtkomst till en webbserver) på organisationens NetScaler ADC-apparat. Denna handling gjorde det möjligt för hackarna att stjäla data från organisationens Active Directory (AD), inklusive information om användare, grupper, applikationer och enheter i nätverket.
Lyckligtvis var den apparat som attacken riktades mot isolerad i organisationens nätverk, så hackarna kunde inte kompromissa med domänkontrollanten, som tillhandahåller autentiserings- och auktoriseringstjänster för AD-domänen. Organisationen kunde avvärja hackarna och begränsa attacken.
Vid den tiden uppskattade Shadowserver Foundation att mer än 15.000 Citrix-servrar över hela världen riskerade att äventyras om inte korrigeringar tillämpades.
Utveckling till Citrix-blödning
Den 10 oktober 2023 avslöjade CSG en ny sårbarhet i kundhanterade NetScaler ADC- och NetScaler Gateway-enheter. Denna sårbarhet, som tilldelades identifieraren CVE-2023-4966, fick det gemensamma namnet Citrix Bleed, som anspelar på en ökänd sårbarhet från 2014 som heter Heartbleed, som utnyttjades i stor utsträckning och gjorde det möjligt för hackare att stjäla känslig information som lösenord, krypteringsnycklar och bankuppgifter.
Citrix Bleed gör det möjligt för oautentiserade fjärrangripare att extrahera data från en sårbar NetScaler-enhets minne, inklusive känsliga sessionstoken. Det är oroväckande att det är ganska enkelt att utnyttja sårbarheten och gör det möjligt för en hackare att ta kontroll över nätverket som hanteras av NetScaler-enheten och använda sessionstoken som autentiserar användarförfrågningar och möjliggör åtkomst till användardata utan att behöva ett lösenord eller använda tvåfaktorsautentisering.
CSG utfärdade korrigeringar för Citrix Bleed, men den 17 oktober uppdaterade sin säkerhetsrådgivning för att avslöja att den hade observerat exploatering i naturen - dvs. bevis för att sårbarheten redan utnyttjades i många organisationer. Faktum är att vissa cybersäkerhetsföretag upptäckte att sårbarheten utnyttjades så tidigt som i slutet av augusti.
Citrix Bleed Exploits är förmodligen pågående
I skrivande stund har många stora organisationer avslöjat säkerhetsöverträdelser som möjliggjorts av Citrix Bleed, inklusive Boeing och Xfinity. Det finns flera hotgrupper som aktivt arbetar för att fortsätta utnyttja Citrix Bleed för att förvärva känslig information att sälja, hålla för lösen eller utnyttja som en del av en underrättelseinsamlingsoperation. Och så länge dessa grupper fortsätter att utnyttja Citrix Bleed kommer branschmedia att fortsätta att täcka de resulterande överträdelserna.
Varför försöker dessa grupper fortfarande utnyttja Citrix Bleed? Som nämnts ovan är Citrix Bleed lätt att utnyttja om en organisation har försummat att tillämpa lämplig patch - men förutom att tillämpa patchen måste IT också ogiltigförklara aktiva och ihållande sessionstoken innan enheten startas om. Denna ogiltigförklaring förhindrar en hackare från att komma åt giltiga sessionstoken i minnet och använda dem för att ta kontroll över aktiva sessioner och få tillgång till känslig användarinformation.
Eftersom Citrix Bleed är så lätt att utnyttja bör alla organisationer som använder NetScaler anta att deras enhet (er) har äventyrats, se till att alla lämpliga korrigeringar har tillämpats och sessionstoken ogiltigförklaras. Dessutom bör IT granska alla nätverksenheter och hela infrastrukturen för tecken på kompromisser - ett antal säkerhetsföretag har publicerat gratis detaljerad säkerhetsvägledning för att hjälpa till.
Vad händer härnäst?
För Citrix-kunder - särskilt de som använder NetScaler i sin datainfrastruktur - har Citrix Bleed varit en uppslitande upplevelse. Som ett resultat kan vissa av dem ifrågasätta om Citrix senaste förvärv och sammanslagning med TIBCO distraherade NetScaler-produktteamet och saktade ner deras erkännande av flera kritiska säkerhetsbrister i sina produkter. Vissa Citrix/CSG-kunder kanske undrar om andra delar av Citrix/CSG:s mycket komplexa infrastruktur kan vara i riskzonen.
Om du är en ISV eller MSP som omvärderar din användning av Citrix för att leverera Windows-applikationer till kunder, eller vill minska komplexiteten i slutanvändarens datainfrastruktur, eller sänka dina kostnader för att leverera Windows-applikationer, överväga GO-Global.
Med GO-Global Application Publishing körs Windows-applikationer på en server som kan installeras i ett offentligt, privat eller hybridmoln. GO-Global utnyttjar sedan molntjänsternas befintliga infrastruktur och säkerhets- och skalbarhetsfunktioner för att leverera avancerad funktionalitet med mindre komplexitet, lägre kostnad och lägre risk.
För säkerhetsmedvetna organisationer stöder GO-Global tvåfaktorsautentisering och är den enda lösningen för publicering av Windows-applikationer som ger Single Sign-On-stöd för OpenID® Connect (OIDC), vilket gör det möjligt för organisationer att använda OIDC-identitetsleverantörer som Okta® och Microsoft® Active Directory Federated Services (ADFS) för single sign-on till GO-Global Windows-värdar.
Trots sin låga kostnad ger GO-Global skalbarhet på företagsnivå men är lätt att installera, konfigurera och använda och ger en fantastisk användarupplevelse, inklusive snabba inloggningar och minimal latens, även över anslutningar med låg bandbredd.
Minska komplexiteten. Minska kostnaderna. Minska risken.
Skaffa GO-Global.
Om du vill veta mer kan du begära en demo här eller ladda ner en kostnadsfri 30-dagars testversion.