CitrixBleed: Ransomware-Banden attackieren Citrix NetScaler

Sicherheitsforscher haben ein erhöhtes Angriffsaufkommen gegen Citrix Netscaler ADC und Gateway beobachtet. Da Cyberkriminelle Verschlüsselungstrojaner durch eine Lücke auf Systeme schieben, sollten Admins umgehend handeln.

Gegenmaßnahmen

Die „kritische“ Sicherheitslücke (CVE-2023-4966) erlaubt es Angreifern aus der Ferne und ohne Authentifizierung im RAM auf gültige Session Tokens zuzugreifen und diese zu extrahieren. Damit können sie die Anmeldung umgehen und auf Systeme zugreifen. Die Schwachstelle ist seit Anfang Oktober 2023 bekannt. Seitdem gibt es auch Sicherheitsupdates. Kurz danach wurden erste Attacken dokumentiert. In einer technischen Analyse von Assetnote findet man weitere Details zur Schwachstelle.

Nur bleiben Sessions nach dem Installieren der Patches aktiv und gültig, sodass Admins sie wie folgt terminieren müssen:

kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions

„Sie sammeln Session Tokens wie Pokémon“

Ein Sicherheitsforscher berichtet in einem Beitrag von einer „mass Explotation" und hat eigenen Angaben zufolge an einem Tag über 20.000 kompromittierte Systeme entdeckt. Ihm zufolge sammeln die Angreifer Session Tokens wie Pokémons.

Wie Sicherheitsforscher von Shadowserver dokumentiert haben, sind sie auf mehr als 5000 öffentlich erreichbare verwundbare Instanzen gestoßen. Da Citrix NetScaler weit verbreitet ist, ist von einer weiteren Steigerung der Attacken auszugehen. Die Sicherheitsfirma Mandiant führt aus, dass sie auf vier verschiedene Gruppen gestoßen, die weltweit Attacken auf unter anderem staatliche Einrichtungen und Tech-Firmen verüben.

(des)