Home > Security Bulletins > Lockbit ransomware groep gebruikt een vulnerability binnen NetScaler.

Lockbit ransomware groep gebruikt een vulnerability binnen NetScaler.

Lockbit ransomware groep gebruikt een vulnerability binnen NetScaler.

Lockbit ransomware groep gebruikt een vulnerability binnen NetScaler.

Samenvatting
Lockbit maakt actief gebruik van een kwetsbaarheid binnen Citrix NetScaler genaamd CitrixBleed CVE-2023-4966. Citrix heeft op 10 oktober een patch voor de kwetsbaarheid uitgebracht, maar de kwetsbaarheid kan nog steeds worden misbruikt omdat het sessietoken blijft bestaan.
De exploit geeft toegang tot het geheugen van het apparaat dat toegang geeft tot de sessietokens op het gecompromitteerde apparaat. Hierdoor is toegang tot accounts mogelijk zonder dat multifactor-authenticatie vereist is.
Aanvallers scannen het internet met behulp van de publiekelijk beschikbare Shodan-website om een ​​beschikbare NetScaler te vinden. Vervolgens sturen ze een opdracht om brute kracht uit te voeren door meerdere tekens tegelijkertijd te verzenden. Vervolgens zal de NetScaler antwoorden met het verzenden van het systeemgeheugen.

Betrokken producten:
• NetScaler-ADC
• NetScaler-gateway

Beveiligingsaanbevelingen
Onderzoeker Kevin Beaumont heeft een commando vrijgegeven om te controleren of een aanvaller een aanval heeft uitgevoerd met behulp van het genoemde verzoek, link.
NetScaler heeft ook beveiligingsaanbevelingen uitgebracht. Ze hebben een patch uitgebracht, maar adviseren ook om de persistente sessies te resetten met behulp van de volgende opdrachten:

  • kill icaconnection -all
  • kill rdp connection -all
  • kill pcoipConnection -all
  • kill aaa session -all
  • clear lb persistentSessions

Meer informatie van NetScaler vindt u hier.