Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin –  Active exploitation of Citrix NetScaler vulnerability (CVE-2023-4966)

For English, see below.

Beschrijving

Citrix heeft recent patches uitgebracht om diverse kwetsbaarheden in Citrix NetScaler te verhelpen. Nu blijkt dat kwaadwillenden één van deze kwetsbaarheden (CVE-2023-4966) al enige tijd uitbuiten om in te breken op sessies van gebruikers. Dit laatste vergroot de noodzaak om z.s.m. de door Citrix aangeleverde updates te installeren om misbruik hiervan te voorkomen.

Misbruik van de kwetsbaarheid stelt kwaadwillenden in staat om de sessies van ingelogde gebruikers over te nemen en daarbij eventuele beveiligingsmaatregelen – zoals de vereiste voor multifactor-authenticatie – te omzeilen. Nadat een aanvaller erin slaagt om een sessie van een gebruiker over te nemen, kan deze vervolgens aanvullende acties uitvoeren met de rechten van de betreffende gebruiker.

Kwetsbare versies

De onderstaande versies van NetScaler bevatten de kwetsbaarheid:

  • NetScaler ADC en NetScaler Gateway 14.1, versies ouder dan 14.1-8.50
  • NetScaler ADC en NetScaler Gateway 13.1 , versies ouder dan 13.1-49.15
  • NetScaler ADC en NetScaler Gateway 13.0, versies ouder dan 13.0-92.19
  • NetScaler ADC 13.1-FIPS, versies ouder dan 13.1-37.164
  • NetScaler ADC 12.1-FIPS, versies ouder dan 12.1-55.300
  • NetScaler ADC 12.1-NDcPP, versies ouder dan 12.1-55.300

Om de kwetsbaarheid uit te kunnen buiten moet het device geconfigureerd zijn als Gateway (VPN virtual server, ICA Proxy, CVPN of RDP Proxy) of als AAA virtual server.

Let op: NetScaler ADC 12.1 en NetScaler Gateway 12.1 bevatten de kwetsbaarheid ook maar zijn inmiddels End-of-Life/niet meer ondersteund. Voor deze versies van NetScaler is geen update beschikbaar gesteld en gebruikers ervan dienen daarom te upgraden naar een ondersteunde versie van NetScaler (13.0 of hoger).

Oplossingen en tijdelijke mitigaties

Citrix heeft nieuwe versies van de NetScaler-producten uitgebracht om deze kwetsbaarheid te verhelpen. Wij raden dan ook aan z.s.m. onderstaande updates te installeren:

  • NetScaler en NetScaler Gateway 14.1: versie 14.1-8.50 of nieuwer
  • NetScaler en NetScaler Gateway 13.1: versie 13.1-49.15 of nieuwer
  • NetScaler ADC en NetScaler Gateway 13.0: versie 13.0-92.19 of nieuwer
  • NetScaler ADC 13.1-FIPS: versie 13.1-37.164 of nieuwer
  • NetScaler ADC 12.1-FIPS: versie 12.1-55.of nieuwer
  • NetScaler ADC 12.1-NDcPP: versie 12.1-55.300 of nieuwer

Houd er rekening mee dat aanvallers toegang kunnen blijven houden tot sessies indien zij deze voor het installeren van de update hebben kunnen overnemen. Daarom is het van belang om op elk (voorheen kwetsbaar systeem) alle persistente sessies te termineren.

Detectie van mogelijk misbruik

Misbruik van de kwetsbaarheid laat helaas weinig tot geen sporen achter op het systeem. Sessies afkomstig vanaf afwijkende IP-adressen/locaties, kunnen een indicatie vormen dat sprake is van een overgenomen sessie.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Citrix recently released patches for Citrix NetScaler to resolve multiple vulnerabilities in this product. As it turned out, one of these vulnerabilities (CVE-2023-4966) was already exploited by threat actors for quite some time to hijack user sessions. Due to this, we advise to install the updates released by Citrix urgently to prevent exploitation of this vulnerability on your devices.

Exploitation of the vulnerability enables threat actors to hijack existing sessions of users, thereby circumventing any security measure in place, such as the requirement for multi factor authentication. After the attacker successfully hijacked a session, he will then be able perform additional actions with the rights of the user.

Vulnerable versions

The following supported versions of NetScaler ADC and NetScaler Gateway are affected by the vulnerabilities:

  • NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
  • NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
  • NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
  • NetScaler ADC 13.1-FIPS before 13.1-37.164
  • NetScaler ADC 12.1-FIPS before 12.1-55.300
  • NetScaler ADC 12.1-NDcPP before 12.1-55.300

For the vulnerability to be exploited, the device must be configured as Gateway (VPN virtual server, ICA Proxy, CVPN or RDP Proxy) or as AAA virtual server.

Note: NetScaler ADC and NetScaler Gateway version 12.1 are now End-of-Life (EOL) but are vulnerable as well. Users of these versions of NetScaler are required to upgrade to a newer/supported version (13.0 or higher).

Solutions and workarounds

Citrix has released updates to resolve this vulnerability. We strongly advise to install these updates as soon as possible if you are running vulnerable devices:

  • NetScaler ADC and NetScaler Gateway 14.1-8.50 and later releases
  • NetScaler ADC and NetScaler Gateway  13.1-49.15 and later releases of 13.1
  • NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0
  • NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS
  • NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS
  • NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP

Be aware that attackers still have access to hijacked sessions if they successfully compromised these sessions before the systems were patched. It is therefore important to clear all persistent sessions on a device after the update is installed.

Detection of possible misuse

Unfortunately, exploitation of the vulnerability leaves little to no traces on the exploited system. Sessions originating from anomalous IP addresses or anomalous locations may indicate that a session was hijacked using this vulnerability.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl