Deze liveblog bevat informatie over een kwetsbaarheid in Citrix ADC. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 27 juli 2023.
Update 27 juli 2023
14:00 | Onze partner Nextron heeft een blog gepubliceerd waarin stapsgewijs wordt uitgelegd hoe de THOR APT scanner kan worden gebruikt om mogelijke uitbuiting van CVE-2023-3519 te detecteren op uw Citrix ADC of Gateway appliance. Deze blog gebruikt de THOR Lite scanner en legt uit hoe een scan uitgevoerd kan worden.
T-CERT kan een diepgaandere scan aanbieden door middel van de volledige versie van de THOR APT scanner. Daarnaast worden de scan resultaten geïnterpreteerd en wordt er op basis van de uitkomst een advies geven.
De blog gepubliceerd door Nextron kan hier worden gevonden.
Mocht u onze assistentie willen, neem dan contact op met T-CERT via [email protected]. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Update 21 juli 2023
13:00 | Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een blog gepubliceerd met betrekking tot CVE-2023-3519. In deze blog geven ze informatie over de achtergrond van de kwetsbaarheid en uitbuiting door aanvallers.
Het installeren van de software updates is nog steeds topprioriteit. Wanneer dit is afgerond, adviseren wij om de stappen beschreven in het hoofdstuk “Detection Methods” in de blog door te nemen. De blog kan hier worden gevonden.
Daarnaast heeft Deutsche Telekom een Python-script uitgebracht om softwareversies te bepalen van een Citrix oplossing op basis van de “Last-modified” timestamp in de HTTP-headers. Dit is een methode om te scannen naar mogelijk kwetsbare systemen, maar zou niet de enige methode voor verificatie moeten zijn. Het script is hier te vinden.
Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Update 19 juli 2023
18:00 | Citrix heeft hun beveiligingsbulletin bijgewerkt en de getroffen versies van de ADC 12.1 branch gewijzigd. De getroffen 12.1 FIPS- en NDcPP-builds zijn:
- NetScaler ADC 12.1-FIPS voor 12.1-55.297
- NetScaler ADC 12.1-NDcPP voor 12.1-55.297
Daarnaast zijn er twee IP-adressen gepubliceerd die waarschijnlijk gerelateerd zijn aan de uitbuiting van CVE-2023-3519. Deze IP-adressen kunnen worden gebruikt om firewall- of andere netwerk security logging te controleren:
- 216.41.162[.]172
- 216.51.171[.]17
Citrix consultancy bedrijf Deyda.net heeft een blog geschreven waarin enkele stappen worden beschreven om mogelijke uitbuiting van een Citrix appliance te identificeren. Deze stappen zijn niet specifiek voor CVE-2023-3519, aangezien details over exploitatie niet openbaar beschikbaar zijn. De weblog is hier te vinden.
Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Update 18 juli 2023
18:00 | Op 18 juli heeft Citrix een beveiligingsbulletin uitgebracht waarin drie kwetsbaarheden worden beschreven. De ernstigste kwetsbaarheid is een unauthenticated remote code execution in Citrix ADC en Citrix Gateway, geregistreerd als CVE-2023-3519. Door dit beveiligingslek kan een externe, niet-geverifieerde aanvaller willekeurige code uitvoeren.
Uitbuiting van CVE-2023-3519 is reeds waargenomen in het wild. Citrix heeft software-updates uitgebracht. Het is dan ook sterk aanbevolen om deze beveiligingspatches zo snel mogelijk toe te installeren.
Aanleiding en achtergrond van deze blog
Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.
Kwetsbaarheid informatie
Op 18 juli heeft Citrix een beveiligingsbulletin uitgebracht waarin drie kwetsbaarheden worden beschreven. De ernstigste kwetsbaarheid is een unauthenticated remote code execution in Citrix ADC en Citrix Gateway, geregistreerd als CVE-2023-3519. Door dit beveiligingslek kan een externe, niet-geverifieerde aanvaller willekeurige code uitvoeren.
Uitbuiting van CVE-2023-3519 is reeds waargenomen in het wild. Citrix heeft software-updates uitgebracht. Het is dan ook sterk aanbevolen om deze beveiligingspatches zo snel mogelijk toe te installeren.
Mogelijke risico’s
De kwetsbaarheid CVE-2023-3519 heeft een CVSS-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met een grote impact. De kwetsbaarheid CVE-2023-3519 is een unauthenticated remote code execution in Citrix ADC en Citrix Gateway, welke een niet-geautoriseerde aanvaller in staat stelt code uit te voeren op het apparaat.
Uitbuiting van CVE-2023-3519 is reeds waargenomen in het wild. De getroffen oplossingen zijn doorgaans publiek op het internet ontsloten. Dit maakt de kwetsbaarheid zeer kritiek en dient zo snel mogelijk te worden verholpen.
Detail informatie
Citrix ADC of Citrix Gateway oplossingen geconfigureerd als een Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) of als een AAA virtual server zijn kwetsbaar.
De volgende ondersteunde versies van NetScaler ADC en NetScaler Gateway zijn kwetsbaar:
- NetScaler ADC and NetScaler Gateway 1 before 13.1-49.13
- NetScaler ADC and NetScaler Gateway 0 before 13.0-91.13
- NetScaler ADC 13.1-FIPS before 13.1-37.159
- NetScaler ADC 12.1-FIPS before 12.1-65.36
- NetScaler ADC 12.1-NDcPP before 12.1-65.36
Note: NetScaler ADC en NetScaler Gateway versie 12.1 is nu End Of Life (EOL) en is kwetsbaar. Klanten wordt sterk aangeraden om hun apparaten te upgraden naar een van de ondersteunde versies die de kwetsbaarheden verhelpen.
Beveiligingsupdates zijn beschikbaar. Upgrade naar één van de volgende versies:
- NetScaler ADC and NetScaler Gateway 13.1-49.13 and later releases
- NetScaler ADC and NetScaler Gateway 13.0-91.13 and later releases of 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.159 and later releases of 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-65.36 and later releases of 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-65.36 and later releases of 12.1-NDcPP
Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.
