Mere end 15.000 Citrix-servere sårbare

Kritisk sårbarhed i vælten

CISA har i sidste uge advaret om cyberangreb mod Citrix-servere, hvor der udnyttes en kritisk sårbarhed. Det skriver Security Affairs og Bleeping Computer på baggrund af en advisory fra CISA. Der er tale om en sårbarhed med id’et CVE-2023-3519 og en score på 9,8. Det er en code injection-sårbarhed, som kan udnyttes til afvikling af kode ’remote’.

Selve sårbarheden findes i Citrix NetScaler Application Delivery Controller (ADC) og Gateway-enheder, som Citrix advarede sine kunder om den 18. juli. Dagen efter blev advarslen fulgt op med en meddelelse om, at sårbarheden nu ansås for at være under udnyttelse in-the-wild, og yderligere en dag efter er CISA kommet med sit advisory. Oplysningerne om, at 15000 enheder skulle være eksponeret online kommer fra non-profit organisationen Shadowserver Foundation, der har tweetet om sagen. Det oplyses også her, at de fleste enheder er placeret i USA og Tyskland.

De påvirkede enheder er følgende:

  • NetScaler ADC, og NetScaler Gateway 13.1 før 13.1-49.13
  • NetScaler ADC, og NetScaler Gateway 13.0 før 13.0-91.13
  • NetScaler ADC 13.1-FIPS før 13.1-37.159
  • NetScaler ADC 12.1-FIPS før 12.1-55.297
  • NetScaler ADC 12.1-NDcPP før 12.1-55.297

Det bemærkes, at NetScaler ADC og NetScaler Gateway version 12.1 er End Of Life, hvorfor kunder anbefales at opgradere deres apparater til en af ​​de understøttede versioner, der adresserer sårbarhederne.

Citrix har oplyst, at vellykket udnyttelse kræver, at apparatet er konfigureret som en Gateway (VPN virtuel server, ICA Proxy, CVPN, RDP Proxy) eller AAAvirtualserver.

DKCERT har til sit netværk i forskningsnettet udsendt følgende anbefalinger:

  • Identificerer om I har enheder der kan blive eksploiteret af de tidligere nævnte sårbarheder.
  • Tag de sårbare enheder af netværket hurtigst muligt.
  • Analyserer og vurder om enheder er blevet kompromitteret. Citrx har udsendt vejledning om, hvordan analysen kan foretages.
  • Opdater relevante enheder til seneste version.
  • Kobl enheder på netværket igen efter opdatering af enheden. 

Links:

https://securityaffairs.com/148735/hacking/15k-citrix-servers-vulnerable-cve-2023-3519.html

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a

https://www.bleepingcomputer.com/news/security/over-15k-citrix-servers-vulnerable-to-cve-2023-3519-rce-attacks/

https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467