Ruim 1.800 Citrix Netscaler-systemen bevatten ondanks patch nog achterdeurtje
- Citrix waarschuwde in juli voor een kritiek gat in NetScaler ADC en NetScaler Gateway
- Een patch werd direct uitgebracht
- Toch blijken ruim 1.800 systemen nu een achterdeurtje te bevatten
- Lees ook: Patchen blijft een uitdaging. Maar waarom?
Citrix waarschuwde afgelopen maand voor een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway. Hoewel er destijds ook direct patches verschenen, bevatten wereldwijd ruim 1.800 systemen nu achterdeurtjes. Dat blijkt uit een analyse van Fox-IT en het DIVD. Volgens de twee partijen is de fout geautomatiseerd misbruikt.
De kwetsbaarheid in kwestie - CVE-2023-3519 - maakt het mogelijk om op afstand code uit te voeren, zonder dat authenticatie vereist is. De fout kreeg destijds een ernst-score van 9,8 op een schaal van 10 mee.
Toen de melding uit ging, waren zo'n 31.000 systemen wereldwijd kwetsbaar voor de zeroday, aldus Fox-IT en het DIVD in een analyse. 1.952 daarvan zijn daadwerkelijk voorzien van een achterdeurtje. Dat komt neer op 6,3% van alle kwetsbare systemen wereldwijd.
Wel gepatcht, niet opgeschoond
Beheerders van een deel van die systemen hebben inmiddels actie ondernomen, maar bij een veel groter aantal is niet voldoende actie ondernomen. Op 14 augustus bevatten 1.828 namelijk nog altijd een backdoor.
Ook valt op dat dat 69% van de NetScalers met een achterdeurtje inmiddels niet kwetsbaar meer is voor de fout. Volgens Fox-IT en het DIVD wijst dat erop dat de meeste beheerders de patch wel geïnstalleerd hebben, maar niet goed gekeken hebben naar signalen van misbruik. Daardoor kunnen de beheerders onterecht denken dat ze veilig zijn.
Veel van de systemen die nog altijd een achterdeurtje bevatten, staan in Europa. Het grootste aantal staat in Duitsland, namelijk ruim 500. 70% daarvan is wel gepatcht. In Nederland bevatten ruim 100 systemen een achterdeur. 82% daarvan is wel van een patch voorzien.
Achterdeur blijft te misbruiken
Fox-IT en het DIVD waarschuwen in hun analyse dat de aanwezige achterdeurtjes nog altijd gebruikt kunnen worden om binnen te dringen in de systemen, zelfs als de patch voor de kwetsbaarheid zelf wel geïnstalleerd is. Ook het herstarten van een systeem werkt niet.
De beide partijen adviseren met klem om NetScaler-systemen te controleren op aanwezige backdoors, ook als de systemen al wel gepatcht zijn. Fox-IT heeft op zijn GitHub informatie gegeven over deze controle en eventuele vervolgstappen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee