Shadowserver: honderden Citrix-servers geïnfecteerd met webshell

[Captain Kirk]

Honderden Citrix-servers, waaronder een dozijn in Nederland, zijn via een kritieke kwetsbaarheid geïnfecteerd met webshells, zo stelt de Shadowserver Foundation op basis van eigen onderzoek. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt.

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, telde op 21 juli vijftienduizend kwetsbare Citrix-servers die geen patch voor CVE-2023-3519 geïnstalleerd hebben. Het ging 331 machines in Nederland. Naast het tellen van kwetsbare servers onderzocht de Shadowserver Foundation ook het aantal gecompromitteerde servers.

Het gaat om servers waarop aanvallers via CVE-2023-3519 een webshell installeerden. Dit is een programma waarmee de aanvallers toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Met name in Duitsland werden veel besmette servers aangetroffen. Van de 581 gecompromitteerde machines staan er 115 bij de oosterburen. In Nederland werden twaalf servers geteld.

 

bron: https://www.security.nl