Citrix ADC kwetsbaarheid (2)
Deze liveblog bevat informatie over een kwetsbaarheid in Citrix ADC en Citrix Gateway. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 25 oktober 2023.
T-Update
Deze liveblog bevat informatie over een kwetsbaarheid in Citrix ADC en Citrix Gateway. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 25 oktober 2023.
Update 25 oktober 2023
11:00 | Op 25 oktober zijn details over de uitbuiting van de “Citrix bleed” kwetsbaarheid gepubliceerd in een blog van Assetnote. Het beveiligingslek werd al misbruikt door specifieke aanvallersgroepen. Met de publicatie is exploitatie nu door een grotere groep aanvallers mogelijk.
De blog van Assetnote kan hier worden gevonden: https://www.assetnote.io/resources/research/citrix-bleed-leaking-session-tokens-with-cve-2023-4966
Citrix heeft een mitigation guide gepubliceerd, inclusief enkele aanvullende stappen naast het toepassen van de software-updates. De mitigation guide vindt u hier: https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-update-now-available-for-netscaler-adc-and-netscaler-gateway/
Update 19 oktober 2023
13:30 | Op 10 oktober heeft Citrix een beveiligingsbulletin uitgebracht waarin twee kwetsbaarheden worden beschreven. De ernstigste kwetsbaarheid is een information disclosure kwetsbaarheid in Citrix ADC en Citrix Gateway, geregistreerd als CVE-2023-4966. Door dit beveiligingslek kan een externe, niet-geverifieerde aanvaller gevoelige informatie verkrijgen.
Op het moment van publicatie was nog onbekend welke informatie kon worden verkregen middels uitbuiting van de kwetsbaarheid. Op 17 oktober heeft cybersecurity bedrijf Mandiant een blog gepubliceerd waarin uitbuiting van de kwetsbaarheid wordt beschreven. Bovendien onthullen ze dat sessie-informatie van actieve gebruikers wordt gelekt bij uitbuiting van de kwetsbaarheid. Dit geeft de aanvaller de mogelijkheid om sessies over te nemen. Daarnaast kan de aanvaller aanvullende inloggegevens te verzamelen.
Uitbuiting van CVE-2023-4966 is reeds waargenomen in het wild, maar code of instructies voor het uitbuiten zijn niet publiek beschikbaar. Citrix heeft software-updates uitgebracht. Het is dan ook sterk aanbevolen om deze beveiligingspatches zo snel mogelijk te installeren, maar dit is niet voldoende voor volledige mitigatie. Mandiant heeft een mitigation guide beschikbaar gesteld met aanvullende stappen.
Achtergrond
Op 10 oktober heeft Citrix een beveiligingsbulletin uitgebracht waarin twee kwetsbaarheden worden beschreven. De ernstigste kwetsbaarheid is een information disclosure kwetsbaarheid in Citrix ADC en Citrix Gateway, geregistreerd als CVE-2023-4966. Door dit beveiligingslek kan een externe, niet-geverifieerde aanvaller gevoelige informatie verkrijgen. Op het moment van publicatie was nog onbekend welke informatie kon worden verkregen middels uitbuiting van de kwetsbaarheid. Op 17 oktober heeft cybersecurity bedrijf Mandiant een blog gepubliceerd waarin uitbuiting van de kwetsbaarheid wordt beschreven. Bovendien onthullen ze dat sessie-informatie van actieve gebruikers wordt gelekt bij uitbuiting van de kwetsbaarheid. Dit geeft de aanvaller de mogelijkheid om sessies over te nemen. Daarnaast kan de aanvaller aanvullende inloggegevens te verzamelen. Uitbuiting van CVE-2023-4966 is reeds waargenomen in het wild, maar code of instructies voor het uitbuiten zijn niet publiek beschikbaar. Citrix heeft software-updates uitgebracht. Het is dan ook sterk aanbevolen om deze beveiligingspatches zo snel mogelijk te installeren, maar dit is niet voldoende voor volledige mitigatie. Mandiant heeft een mitigation guide beschikbaar gesteld met aanvullende stappen.
Risico
De kwetsbaarheid CVE-2023-4966 heeft een CVSS-score van 9,4. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met een grote impact. De kwetsbaarheid CVE-2023-4966 is een information disclosure kwetsbaarheid in Citrix ADC en Citrix Gateway. De impact van de kwetsbaarheid is afhankelijk van de informatie die wordt gelekt, wat deels de relatief lage CVSS-score van 9,4 verklaart.
In dit geval biedt de kwetsbaarheid een aanvaller de mogelijkheid sessie-informatie te stelen, die kan worden gebruikt om een bestaande sessie over te nemen. Mandiant geeft tevens aan dat een aanvaller aanvullende inloggegevens kan verkrijgen. Verkregen toegang wordt beperkt door de machtigingen en de reikwijdte van de toegang van de identiteit of sessie die is gestolen.
Uitbuiting van CVE-2023-4966 is reeds waargenomen in het wild, maar code of instructies voor het uitbuiten zijn niet publiek beschikbaar. De getroffen oplossingen zijn doorgaans publiek op het internet ontsloten. Dit maakt de kwetsbaarheid zeer kritiek en deze dient zo snel mogelijk te worden verholpen.
Advies
Citrix ADC of Citrix Gateway oplossingen geconfigureerd als een Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) of als een AAA virtual server zijn kwetsbaar voor CVE-2023-4966. Citrix geeft aan dat klanten die gebruik maken van Citrix-managed cloud services of Citrix-managed Adaptive Authentication niet getroffen zijn door deze kwetsbaarheid.
De volgende ondersteunde versies van NetScaler ADC en NetScaler Gateway zijn kwetsbaar:
- NetScaler ADC en NetScaler Gateway 14.1 voor 14.1-8.50
- NetScaler ADC en NetScaler Gateway 13.1 voor 13.1-49.15
- NetScaler ADC en NetScaler Gateway 13.0 voor 13.0-92.19
- NetScaler ADC 13.1-FIPS voor 13.1-37.164
- NetScaler ADC 12.1-FIPS voor 12.1-55.300
- NetScaler ADC 12.1-NDcPP voor 12.1-55.300
NetScaler ADC en NetScaler Gateway versie 12.1 is nu End Of Life (EOL) en is kwetsbaar. Klanten wordt sterk aangeraden om hun apparaten te upgraden naar een van de ondersteunde versies die de kwetsbaarheden verhelpen.
Beveiligingsupdates zijn beschikbaar. Upgrade naar één van de volgende versies:
- NetScaler ADC en NetScaler Gateway 14.1-8.50 en latere releases
- NetScaler ADC en NetScaler Gateway 13.1-49.15 en latere releases van 13.1
- NetScaler ADC en NetScaler Gateway 13.0-92.19 en latere releases van 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.164 en latere releases van 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.300 en latere releases van 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.300 en latere releases van 12.1-NDcPP
Het installeren van de beveiligingsupdate is niet voldoende om het risico van de kwetsbaarheid volledig te mitigeren. Mandiant biedt aanvullende mitigatie stappen in hun mitigation guide. Dit document kunt u hier vinden: https://services.google.com/fh/files/misc/citrix-netscaler-adc-gateway-cve-2023-4966-remediation.pdf
Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Schrijf je in voor T-Updates
Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail
More than 1,000 organisations have already joined us.
