Overslaan en naar de inhoud gaan
Nieuws
16 augustus 2023 leestijd 1 minuut 0 reacties

Ruim 1.800 Citrix Netscaler-systemen bevatten ondanks patch nog achterdeurtje

  • Citrix waarschuwde in juli voor een kritiek gat in NetScaler ADC en NetScaler Gateway
  • Een patch werd direct uitgebracht
  • Toch blijken ruim 1.800 systemen nu een achterdeurtje te bevatten
  • Lees ook: Patchen blijft een uitdaging. Maar waarom?
Eveline Meijer
Eveline MeijerRedacteurMeer van deze auteur
Kubusjes met slotjes erop. Een deel van de slotjes is dicht, een deel is open.
Shutterstock

Citrix waarschuwde afgelopen maand voor een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway. Hoewel er destijds ook direct patches verschenen, bevatten wereldwijd ruim 1.800 systemen nu achterdeurtjes. Dat blijkt uit een analyse van Fox-IT en het DIVD. Volgens de twee partijen is de fout geautomatiseerd misbruikt. 

De kwetsbaarheid in kwestie - CVE-2023-3519 - maakt het mogelijk om op afstand code uit te voeren, zonder dat authenticatie vereist is. De fout kreeg destijds een ernst-score van 9,8 op een schaal van 10 mee.

Toen de melding uit ging, waren zo'n 31.000 systemen wereldwijd kwetsbaar voor de zeroday, aldus Fox-IT en het DIVD in een analyse. 1.952 daarvan zijn daadwerkelijk voorzien van een achterdeurtje. Dat komt neer op 6,3% van alle kwetsbare systemen wereldwijd. 

Wel gepatcht, niet opgeschoond

Beheerders van een deel van die systemen hebben inmiddels actie ondernomen, maar bij een veel groter aantal is niet voldoende actie ondernomen. Op 14 augustus bevatten 1.828 namelijk nog altijd een backdoor.

Ook valt op dat dat 69% van de NetScalers met een achterdeurtje inmiddels niet kwetsbaar meer is voor de fout. Volgens Fox-IT en het DIVD wijst dat erop dat de meeste beheerders de patch wel geïnstalleerd hebben, maar niet goed gekeken hebben naar signalen van misbruik. Daardoor kunnen de beheerders onterecht denken dat ze veilig zijn.

Veel van de systemen die nog altijd een achterdeurtje bevatten, staan in Europa. Het grootste aantal staat in Duitsland, namelijk ruim 500. 70% daarvan is wel gepatcht. In Nederland bevatten ruim 100 systemen een achterdeur. 82% daarvan is wel van een patch voorzien.

Achterdeur blijft te misbruiken

Fox-IT en het DIVD waarschuwen in hun analyse dat de aanwezige achterdeurtjes nog altijd gebruikt kunnen worden om binnen te dringen in de systemen, zelfs als de patch voor de kwetsbaarheid zelf wel geïnstalleerd is. Ook het herstarten van een systeem werkt niet. 

Gerelateerde artikelen
Gerelateerde artikelen

De beide partijen adviseren met klem om NetScaler-systemen te controleren op aanwezige backdoors, ook als de systemen al wel gepatcht zijn. Fox-IT heeft op zijn GitHub informatie gegeven over deze controle en eventuele vervolgstappen.

Gerelateerde artikelen
Meer whitepapers
MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in