For English, see below.
BeschrijvingCitrix heeft recent patches uitgebracht om diverse kwetsbaarheden in Citrix NetScaler te verhelpen. Nu blijkt dat kwaadwillenden één van deze kwetsbaarheden (CVE-2023-4966) al enige tijd uitbuiten om in te breken op sessies van gebruikers. Dit laatste vergroot de noodzaak om z.s.m. de door Citrix aangeleverde updates te installeren om misbruik hiervan te voorkomen. Misbruik van de kwetsbaarheid stelt kwaadwillenden in staat om de sessies van ingelogde gebruikers over te nemen en daarbij eventuele beveiligingsmaatregelen – zoals de vereiste voor multifactor-authenticatie – te omzeilen. Nadat een aanvaller erin slaagt om een sessie van een gebruiker over te nemen, kan deze vervolgens aanvullende acties uitvoeren met de rechten van de betreffende gebruiker. Kwetsbare versiesDe onderstaande versies van NetScaler bevatten de kwetsbaarheid:
Om de kwetsbaarheid uit te kunnen buiten moet het device geconfigureerd zijn als Gateway (VPN virtual server, ICA Proxy, CVPN of RDP Proxy) of als AAA virtual server. Let op: NetScaler ADC 12.1 en NetScaler Gateway 12.1 bevatten de kwetsbaarheid ook maar zijn inmiddels End-of-Life/niet meer ondersteund. Voor deze versies van NetScaler is geen update beschikbaar gesteld en gebruikers ervan dienen daarom te upgraden naar een ondersteunde versie van NetScaler (13.0 of hoger). Oplossingen en tijdelijke mitigatiesCitrix heeft nieuwe versies van de NetScaler-producten uitgebracht om deze kwetsbaarheid te verhelpen. Wij raden dan ook aan z.s.m. onderstaande updates te installeren:
Houd er rekening mee dat aanvallers toegang kunnen blijven houden tot sessies indien zij deze voor het installeren van de update hebben kunnen overnemen. Daarom is het van belang om op elk (voorheen kwetsbaar systeem) alle persistente sessies te termineren. Detectie van mogelijk misbruikMisbruik van de kwetsbaarheid laat helaas weinig tot geen sporen achter op het systeem. Sessies afkomstig vanaf afwijkende IP-adressen/locaties, kunnen een indicatie vormen dat sprake is van een overgenomen sessie. Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl. ===== ENGLISH ===== DescriptionCitrix recently released patches for Citrix NetScaler to resolve multiple vulnerabilities in this product. As it turned out, one of these vulnerabilities (CVE-2023-4966) was already exploited by threat actors for quite some time to hijack user sessions. Due to this, we advise to install the updates released by Citrix urgently to prevent exploitation of this vulnerability on your devices. Exploitation of the vulnerability enables threat actors to hijack existing sessions of users, thereby circumventing any security measure in place, such as the requirement for multi factor authentication. After the attacker successfully hijacked a session, he will then be able perform additional actions with the rights of the user. Vulnerable versionsThe following supported versions of NetScaler ADC and NetScaler Gateway are affected by the vulnerabilities:
For the vulnerability to be exploited, the device must be configured as Gateway (VPN virtual server, ICA Proxy, CVPN or RDP Proxy) or as AAA virtual server. Note: NetScaler ADC and NetScaler Gateway version 12.1 are now End-of-Life (EOL) but are vulnerable as well. Users of these versions of NetScaler are required to upgrade to a newer/supported version (13.0 or higher). Solutions and workaroundsCitrix has released updates to resolve this vulnerability. We strongly advise to install these updates as soon as possible if you are running vulnerable devices:
Be aware that attackers still have access to hijacked sessions if they successfully compromised these sessions before the systems were patched. It is therefore important to clear all persistent sessions on a device after the update is installed. Detection of possible misuseUnfortunately, exploitation of the vulnerability leaves little to no traces on the exploited system. Sessions originating from anomalous IP addresses or anomalous locations may indicate that a session was hijacked using this vulnerability. More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl. |