Fox-IT: 1800 systemen met NetScaler ADC bevatten nog backdoor, ook in Benelux

Momenteel hebben er wereldwijd nog ruim 1800 systemen die gebruikmaken van NetScaler ADC of NetScaler Gateway een backdoor als gevolg van de in juli ontdekte kwetsbaarheid, zo concludeert beveiligingsbedrijf Fox-IT.

In België zouden tussen de 32 en 64 systemen een backdoor bevatten als gevolg van de betreffende kwetsbaarheid, terwijl dat er in Nederland volgens Fox-IT tussen de 64 en 128 zijn. Het beveiligingsbedrijf deed in samenwerking met het Dutch Institute of Vulnerability Disclosure onderzoek naar de gevolgen van het beveiligingslek. Daaruit blijkt dat ruim 31.000 systemen wereldwijd kwetsbaar waren voor de zeroday CVE-2023-3519. Ruim 1800 systemen met de NetScaler-tools zouden daadwerkelijk met malware besmet zijn en daardoor een backdoor ingebouwd hebben gekregen.

Hoewel Citrix in juli een patch uitbracht voor alle kwetsbare systemen, zouden getroffen systemen alsnog een backdoor kunnen bevatten. Volgens de onderzoekers hebben admins op bijna 1250 van de 1800 getroffen systemen de beveiligingsupdate geïnstalleerd, maar werd de geïnstalleerde backdoor niet gepatcht.

Hierdoor blijven hackers toegang behouden tot de getroffen NetScaler ADC- en NetScaler Gateway-systemen, waardoor nog steeds op afstand code uitgevoerd kan worden. Daarom raden de beveiligingsonderzoekers aan om een indicator of compromise-onderzoek te doen. Bij dit proces wordt gekeken naar eventuele digitale sporen van een cyberaanval.

NetScaler ADC, voorheen Citrix ADC, is een application delivery controller om netwerkverkeer te beheren. Met NetScaler Gateway kunnen gebruikers op afstand toegang krijgen tot applicaties of interne netwerken. De betreffende producten worden vooral door bedrijven gebruikt.

Door Yannick Spinner

Redacteur

Feedback • 15-08-2023 20:21 31

15-08-2023 • 20:21

31

Lees meer

OM gaat offline door beveiligingsprobleem, datalek niet uitgesloten - update
OM gaat offline door beveiligingsprobleem, datalek niet uitgesloten - update Nieuws van 18 juli 2025
Fox-IT-moederbedrijf NCC Group rondt verkoop van Fox Crypto af
Fox-IT-moederbedrijf NCC Group rondt verkoop van Fox Crypto af Nieuws van 28 maart 2025
'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit'
'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit' Nieuws van 13 november 2024
Google: staatshackers misbruiken kwetsbaarheid in WinRAR
Google: staatshackers misbruiken kwetsbaarheid in WinRAR Nieuws van 18 oktober 2023
Cisco waarschuwt klanten voor kritieke zeroday in IOS XE-software
Cisco waarschuwt klanten voor kritieke zeroday in IOS XE-software Nieuws van 17 oktober 2023
Internationaal Strafhof bevestigt slachtoffer van cyberaanval te zijn
Internationaal Strafhof bevestigt slachtoffer van cyberaanval te zijn Nieuws van 20 september 2023
'Amerikaanse hotelketen Caesars betaalde miljoenen aan hackers die data stalen'
'Amerikaanse hotelketen Caesars betaalde miljoenen aan hackers die data stalen' Nieuws van 14 september 2023
Citrix waarschuwt voor kritieke kwetsbaarheid in NetScaler ADC en Gateway
Citrix waarschuwt voor kritieke kwetsbaarheid in NetScaler ADC en Gateway Nieuws van 19 juli 2023
Citrix waarschuwt voor apparaatovernames door gevaarlijk lek in ADC en Gateway
Citrix waarschuwt voor apparaatovernames door gevaarlijk lek in ADC en Gateway Nieuws van 9 november 2022
Investeringsmaatschappijen willen Citrix overnemen voor 16,5 miljard dollar
Investeringsmaatschappijen willen Citrix overnemen voor 16,5 miljard dollar Nieuws van 31 januari 2022
Onderzoeksraad: maak verantwoording over beheersing digitale risico's verplicht
Onderzoeksraad: maak verantwoording over beheersing digitale risico's verplicht Nieuws van 16 december 2021
Coalitie van bedrijven met Microsoft, McAfee en Citrix wil ransomware aanpakken
Coalitie van bedrijven met Microsoft, McAfee en Citrix wil ransomware aanpakken Nieuws van 22 december 2020
Meer producten en artikelen
Beveiliging en antivirus Citrix Citrix ADC Citrix Gateway Vulnerability

Reacties (31)

-Moderatie-faq
31
28
11
0
0
10
Wijzig sortering
HSG 15 augustus 2023 20:33
Het zal mij niet verbazen dat deze systemen bij de overheid staan.
oef! @HSG15 augustus 2023 21:23
Binnen Nederland valt het nog wel mee, bij het recente Ivanti incident stonden er op Shodan weinig Nederlandse overheden tussen. Het overgrote merendeel waren commerciële partijen.

De overheid besteed in mijn ervaring veel meer tijd en geld aan cybersecurity dan het gemiddelde bedrijf of zorginstelling. Dat moet natuurlijk ook, ze bewaken onze gegevens.
kr4t0s @oef!15 augustus 2023 22:26
NL overheid heeft naar mijn ervaring patch management best goed op orde. Dan bedoel ik alle overheid van gemeentes, provincies tot belastingdienst, duo, dji, waterschappen, binnen- en buitenlandse zaken) Daar heeft men over algemeen wel vaste upgrade momenten x keer per jaar en ook mogelijk om tussendoor te upgraden als echt moet vanwege hoge score CVE. Ik kom nooit een overheidsinstantie tegen waar men daar niks voor heeft ingericht.
Ik merk inderdaad dat bij bedrijven daar soms minder aandacht en vooral budget voor is.

[Reactie gewijzigd door kr4t0s op 23 juli 2024 00:04]

tweaker2010 @kr4t0s15 augustus 2023 23:33
X keer per jaar is veel te weining natuurlijk. Minimaal maandelijkse patchronde en het liefst nog vaker, bij zero-day kwetsbaarheden wil je versneld kunnen patchen.
TommieW @tweaker201016 augustus 2023 00:11
Ligt hé-le-maal aan de context. Ook is "12 keer per jaar" ook grofweg maandelijks. Maar je gaat gewoon niet iedere week even je core switches upgraden omdat het kan.
Kabouterplop01 @TommieW16 augustus 2023 07:16
Niet omdat het kan, omdat het moet! Als je het risico afweegt tegen de missie van je bedrijf en die komt in het geding... Dan zegt de baas: "Patch0n!"
Er moet dus iemand zijn die die afweging kan maken en het management kan overtuigen.
batteries4ever @Kabouterplop0116 augustus 2023 09:53
… want er gaat natuurlijk nooit wat mis met de upgrades?
- groetjes van planeet aarde

Ik heb geloof ik maar 1-2 keer last gehad van een virus. Windows upgrades daarentegen… ach de dagen waarin het OS op een ROM zat!
Kabouterplop01 @batteries4ever19 augustus 2023 11:12
Dat is exact de kant die ik bedoelde. Als je kijkt naar die meuk die we windows noemen en hoeveel critical en high kwetsbaarheden dat produceert. Ik ben ervan overtuigd dat ze hun producten op zo'n manier verkopen dat dat de oorzaak is van de booming security industrie. Je zal maar net je bankzaken aan het doen zijn met een besmette machine met als gevolg dat je rekening(en) wordt/worden geplunderd.

Ik doel dus op het feit dat als je elke maand zulke kwetsbaarheden moet verhelpen door upgrades omdat anders het risico bestaat dat je zulke risico's loopt met je bedrijf dat je te lang uit de running zult zijn omdat je moet herstellen, dat je zo'n hoeveelheid inkomsten mist, dat je wel moet.
En dat zijn inderdaad torenhoge kostenposten voor MKB's die geen dedicated systeembeheerders hebben.

Jij kan het misschien wel op orde hebben, maar dat heeft niet iedereen. Statistisch gezien komen eerst de bedrijven die zaken wagenwijd open hebben staat richting internet aan de beurt.
Daarna de bedrijven met collega's die een lage awareness hebben en overgehaald worden te clicken.
(Dat zijn ook de bedrijven met collega's die volkomen ignorant zijn en denken: "Ik heb toch een virusscanner mij gebeurt niets.")
stijnos1991 @HSG15 augustus 2023 20:45
Ik denk dat het je zal verbazen hoe weinig kwetsbare ADC NetScalers je binnen de Rijksoverheid zult vinden. Ga er maar vanuit dat geïnfecteerde machines binnen MKB zijn, die zijn over het algemeen een stuk trager met patchen dan RO.

[Reactie gewijzigd door stijnos1991 op 23 juli 2024 00:04]

Tonkie1967 @stijnos199116 augustus 2023 00:49
Kan niet spreken voor andere bedrijven maar de snelheid en aandacht die vanuit onze security afdeling kwam om ieder team dat mogelijk Netscaler actief zouden hebben was prima op orde, en dat was nadat ze alle known instances al hadden aangepakt. Maar nadat ze alle bekende systemen die rechtstreeks aan internet op de voor de hand liggende domeinen (alle bekende<bedrijf>.com URLs) vroegen ze alle lab beheerders om actief te zoeken naar local instances. Zelf alleen verantwoordelijk voor een EMEA lab omgeving zonder enige toegang vanaf internet (en zelfs toegang vanuit ons eigen global office netwerk en/of via vpn is heel beperkt; bijna alles in mijn lab is alleen bereikbaar via een jumpbox farm (windows RDP en ook Linux server via enkel ssh) maar nog moesten we checken en rapporteren of en wat we eventueel puur intern binnen ons lab draaien of wat we tussen bedrijfs netwerk en lab draaiden. (In ons geval niets, maar we moesten ook dat rapporteren en dat gebeurt bij elk groot incident. En dan hebben we natuurlijk ook de gewone scanners draaien die elke dag scannen. Vanwege de aard van ons lab draait er genoeg systemen met weinig security om bepaalde klant omgeving te simuleren om hun tech probleem te emulgeren; maar dat doen we zo geïsoleerd mogelijk en we hebben daarom geen enkele inkomende verbinding vanaf internet en heel beperkt vanuit het bedrijfs netwerk... Helaas ontkomen we niet aan uitgaande verbindingen, maar richting internet alleen voor https en ssh ... En dat uiteraard enkel via vrij strenge firewall en de systemen met internet toegang hebben geen toegang tot bedrijfsnetwerk en vice versa (uitgezonderd heel specifieke always patched machines die als jumpbox farm gebruikt worden.
Machines die op oude of ongepatchte os moeten draaien worden zoveel mogelijk geïsoleerd binnen lab en indien opgestart binnen 7 dagen uitgeschakeld... Als die resources toch nodig zijn moet die box elke week weer actief worden aangezet...
En deze regels gelden voor een merendeels offline tech support lab omgeving. De regels voor productie datacenters of development en test labs zijn veel strenger.... Gelukkig
aikebah @Tonkie196716 augustus 2023 11:25
Klinkt alsof je werkt bij een toko groot genoeg om het genoemde midden-en-kleinbedrijf te overstijgen. Je reageert op een opmerking dat de meeste wel bij MKB aangetroffen zullen worden. Dan is de situatie bij een grote corporate natuurlijk niet het referentiepunt.
Tonkie1967 @aikebah30 augustus 2023 21:50
Inderdaad werk ik bij een grote toko en dat geeft mogelijkheden; maar komt ook met beperkingen en gebrek aan flexibiliteit dat je wel kan hebben bij kleinere bedrijven, dus groot is zeker niet altijd beter
Ik denk dat in geval van opvolgen van security threats niet zozeer te maken heeft met grootte van een toko maar meer soort toko: een bedrijf dat software ontwikkelt of andere IT diensten levert zal meer security alert zijn dan de lokale kapsalon of tandarts. Maar imho zouden ook bepaalde non IT bedrijven, bijvoorbeeld als ze actief zijn op internet met financiële of persoonlijke data in online systemen zou elk bedrijf erg alert moeten zijn op security
aikebah @Tonkie196730 augustus 2023 22:10
Maar imho zouden ook bepaalde non IT bedrijven, bijvoorbeeld als ze actief zijn op internet met financiële of persoonlijke data in online systemen zou elk bedrijf erg alert moeten zijn op security
Volledig mee eens, maar de 'IMHO zou moeten' en de praktijk liggen nog wel een stukje bij elkaar vandaan is mijn indruk.

En dus verwacht ik met degene waar je op reageerde dat de meeste van die apparaten in het MKB gevonden zullen worden waar de processen vaak minder op orde zijn en dat de meeste enterprise omgevingen bij lekken als deze de bureaucratische processen juist voldoende op orde hebben om in een tijdsbestek van 72u een beschikbare patch uit te rollen op de beheerde apparatuur als een known exploited unauthenticated RCE lek publiek gaat. (en die termijn van 72 uur na oublicatie was al ruim voorbij bij dit nieuwsbericht - toen was er al bijna een hele maand om)

CVSS score 9.8 is per definitie een prio-1 ticket als daar dan ook nog known exploited bij komt al helemaal.
Triblade_8472 @HSG15 augustus 2023 20:50
De overheid is retesnel met het informeren van beheerders van overheidssysyemen. Die hadden naar mijn verwachting alles binnen een week geüpdatet.
Arnevld @HSG16 augustus 2023 08:09
Overheid beheerder hier, bij ons in 3 dagen gepatched.
NCSC meldingen worden rete snel opgevolgd

[Reactie gewijzigd door Arnevld op 23 juli 2024 00:04]

PrimusIP @HSG16 augustus 2023 08:45
Waarom denk je dat?

Mijn ervaring is dat overheiden beveiligingsbeleid hebben, software regelmatig patchen en als ze dingen uitbesteden dit soort dingen in het programma van eisen opnemen.
QuatroXL @HSG16 augustus 2023 16:24
Netscalers zijn complexe apparaten met veel mogelijkheden en doorgaans een goede reputatie. Ik snap je ondertoon daarom niet, omdat er een beveiligingslek is?

Edit spelling

[Reactie gewijzigd door QuatroXL op 23 juli 2024 00:04]

CaptainKansloos 15 augustus 2023 22:31
In België zouden tussen de 32 en 64 systemen een backdoor bevatten .... terwijl dat er in Nederland tussen de 64 en 128 zijn.
Hier kan niet anders dan een 'binaire nerd' meegeschreven hebben aan de rapportage met de getallen... :+
kimborntobewild @CaptainKansloos16 augustus 2023 00:28
Jawel, dat kan wel anders. Blijkbaar weet men dat het (binair gezien) in België 001XXXXX systemen betreft: de 1 is om de één of andere reden bekend, maar de XXXXX niet.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 00:04]

xehexehex 16 augustus 2023 09:33
Mocht je trouwens nog achteraf op IOC's willen scannen op de ADC's, kan dat via deze scanner: https://github.com/mandiant/citrix-ioc-scanner-cve-2023-3519. Ouput en werking is prima, alleen oppassen bij het meerdere keren draaien ervan (las wat met issues).
JanHus 16 augustus 2023 11:50
In mijn ervaring was de methodiek voor het fingerprinten van de versie onvoldoende betrouwbaar omdat de betreffende hash niet (meer) in de body zit. Wij ontvingen dan ook een e-mail van DIVD ondanks dat we al gepatched hadden.

Desalniettemin, lol goed werk van DIVD en Fox door dit te publiceren.
CyberTijn 15 augustus 2023 22:25
Citrix verkoopt een Netscaler. Consultant richt hem in, en de arme stakker op de ICT afdeling die het gedrocht moest beheren is begin dit jaar vertrokken. De rest van de IT club durft er niet aan te komen en hanteert een beleid van “if it works, don’t touch it”.

Zo ongeveer zal het bij een groot deel van de organisaties met één of meer kwetsbare Netscalers gegaan zijn :+

[Reactie gewijzigd door CyberTijn op 23 juli 2024 00:04]

novastorm76 @CyberTijn16 augustus 2023 11:05
Dat klinkt erg bekend ja. zoveel "legacy" systemen die ooit fantastisch waren, maar nu een sta in de weg.

Ik vind dat als je er niet aan durft te komen, dat er iets fout is.
nvaert1986 @novastorm7616 augustus 2023 16:25
Dat is erg afhankelijk van de situatie.

Als het namelijk iemand zijn verantwoordelijkheid was, en een andere persoon die het op zich neemt om een update door te voeren er iets fout gaat, dan wordt die persoon meestal ook gelijk als verantwoordelijke gezien en die mag dan het probleem oplossen zonder er verstand van te hebben. Vaak zijn andere partijen niet (meer) bereikbaar en is het bedrijfskritisch dus moet het ad-hoc zonder enige verstand van zaken z.s.m. opgelost worden. Vaak loopt het pakket in dit soort situaties ook al enkele versies achter (dus zijn er eerst upgrades nodig voordat de beveiligingspatch doorgevoerd kan worden)

Dat wordt op dat moment een leuk nachtklusje in veel gevallen, dus ik kan begrijpen dat andere mensen er niet aan durven zitten. Die willen namelijk de zondebok niet zijn.

Ik ben het er uiteraard helemaal eens dat een critical security z.s.m. geïnstalleerd moet worden. Maar zoiets dient toch echt op de managementlaag geregeld te worden dat minsten 2 of 3 mensen binnen een team bekend zijn met de software en deze kunnen ondersteunen alvorens iets uitgerold wordt.
oleander17 @0rder16 augustus 2023 07:02
Heb je het onderzoek überhaupt wel gelezen?
0rder @oleander1716 augustus 2023 08:16
ja, vandaar mijn reactie. Heb jij hem wel gelezen? En enig nieuwe info gevonden dat al niet bekend was?
DeMoN @0rder16 augustus 2023 11:38
Als je het wel gelezen hebt raad ik je aan om je in te lezen over de mogelijkheden van Shodan en wat webshells zijn. Bedoel het niet rot, maar je lijkt overtuigd dat dit met Shodan kan en misschien zie je dit als een leuke kans om je kennis uit te breiden over hoe het echt werkt :)
DeMoN @0rder16 augustus 2023 23:26
Je kunt trouwens ook de code inzien die Fox-IT heeft gepubliceerd. Geeft je technische duiding over het lokaliseren van IOCs en misschien dus ook die verdieping waar je misschien naar op zoek bent :Y)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq