'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit'

Kwetsbaarheden in Citrix' NetScaler waren in 2023 de meest uitgebuite kwetsbaarheden. Dat stellen meerdere nationale cybersecurityorganisaties. Veel van die kwetsbaarheden werden aanvankelijk als zeroday uitgebuit.

De lijst die de verschillende beveiligingsinstanties hebben opgesteld, gaat over de vijftien meestvoorkomende en vooral uitgebuite kwetsbaarheden van het afgelopen jaar. Onder andere de Amerikaanse CISA, FBI en NSA stellen de lijst op, samen met instanties uit de andere 'Five Eyes'-landen: Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk. Het gaat in dit geval om een lijst kwetsbaarheden die in 2023 werden uitgebuit.

Bovenaan de lijst staan twee kwetsbaarheden in Citrix' Netscaler ADC en de Gateway. Het gaat om een kritieke kwetsbaarheid, CVE-2023-3519, die een remote code execution mogelijk maakt, en een buffer overflow, CVE-2023-4966. Die beide kwetsbaarheden werden vorig jaar ontdekt. Andere vaak misbruikte kwetsbaarheden zijn CVE-2023-20198 in Cisco's IOS XE-software en CVE-2023-27997 in Fortinets FortiOS en -vpn. In de top vijftien staan voornamelijk endpointsoftwareproducten zoals vpn's en firewalls.

De cybersecurityinstanties merken op dat er in 2023 veel meer aanvallen plaatsvonden op zerodays dan het jaar ervoor. Dat betekent in de praktijk dat de kwetsbaarheden voor het eerst werden uitgebuit voor er een publieke patch beschikbaar was, maar niet dat het totale aantal aanvallen in die periode plaatsvond. Volgens de instanties vinden de meeste succesvolle uitbuitingen plaats binnen twee jaar nadat de bug openbaar wordt gemaakt. Dat gebeurt in de meeste gevallen via een patch. Met andere woorden: veel aanvallen vinden plaats op kwetsbare systemen waarvoor wel een patch beschikbaar is, maar waarop beheerders die nog niet hebben geïnstalleerd.

CVE Fabrikant Product Kwetsbaarheid CWE en uitleg
CVE-2023-3519 Citrix NetScaler ADC, NetScaler Gateway Code Injection CWE-94: Improper Control of Generation of Code ('Code Injection')
CVE-2023-4966 Citrix NetScaler ADC, NetScaler Gateway Buffer Overflow CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
CVE-2023-20198 Cisco IOS XE Web UI Privilege Escalation CWE-420: Unprotected Alternate Channel
CVE-2023-20273 Cisco IOS XE Web UI Command Injection CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
CVE-2023-27997 Fortinet FortiOS, FortiProxy SSL-VPN Heap-Based Buffer Overflow CWE-787: Out-of-bounds Write, CWE-122: Heap-based Buffer Overflow
CVE-2023-34362 Progress MOVEit Transfer SQL Injection CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
CVE-2023-22515 Atlassian Confluence Data Center and Server Broken Access Control CWE-20: Improper Input Validation
CVE-2021-44228 (Log4Shell) Apache Log4j2 Remote Code Execution (RCE) CWE-917: Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection')
CWE-502: Deserialization of Untrusted Data
CWE-20: Improper Input Validation
CWE-400: Uncontrolled Resource Consumption
CVE-2023-2868 Barracuda Networks ESG Appliance Improper Input Validation CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
CWE-20: Improper Input Validation
CVE-2022-47966 Zoho ManageEngine Multiple Products Remote Code Execution CWE-20: Improper Input Validation
CVE-2023-27350 PaperCut MF/NG Improper Access Control CWE-284: Improper Access Control
CVE-2020-1472 Microsoft Netlogon Privilege Escalation CWE-330: Use of Insufficiently Random Values
CVE-2023-42793 JetBrains TeamCity Authentication Bypass CWE-288: Authentication Bypass Using an Alternate Path or Channel
CVE-2023-23397 Microsoft Office Outlook Privilege Escalation CWE-294: Authentication Bypass by Capture-replay
CWE-20: Improper Input Validation
CVE-2023-49103 ownCloud graphapi Information Disclosure CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-11-2024 19:07 4

13-11-2024 • 19:07

4

Lees meer

Wat weten we nu over Log4Shell, de kwetsbaarheid in de log4j-library?
Wat weten we nu over Log4Shell, de kwetsbaarheid in de log4j-library? Review van 14 december 2021
OM gaat offline door beveiligingsprobleem, datalek niet uitgesloten - update
OM gaat offline door beveiligingsprobleem, datalek niet uitgesloten - update Nieuws van 18 juli 2025
Internationale politiediensten halen cybercrimefora Cracked en Nulled offline
Internationale politiediensten halen cybercrimefora Cracked en Nulled offline Nieuws van 30 januari 2025
Hackers lekken configuraties en vpn-inloggegevens van 15.000 FortiGate-apparaten
Hackers lekken configuraties en vpn-inloggegevens van 15.000 FortiGate-apparaten Nieuws van 16 januari 2025
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls Nieuws van 16 januari 2025
Amerikaanse CISA verplicht overheidsinstanties hun cloudomgevingen te beveiligen
Amerikaanse CISA verplicht overheidsinstanties hun cloudomgevingen te beveiligen Nieuws van 18 december 2024
ESET: Russische hackers combineerden Firefox- en Windows-zerodays voor backdoors
ESET: Russische hackers combineerden Firefox- en Windows-zerodays voor backdoors Nieuws van 27 november 2024
'Cross-site scripting' staat bovenaan Mitres top 25 van kwetsbaarheden
'Cross-site scripting' staat bovenaan Mitres top 25 van kwetsbaarheden Nieuws van 21 november 2024
FortiManager heeft mogelijk kritieke kwetsbaarheid, bedrijf zegt niets - update
FortiManager heeft mogelijk kritieke kwetsbaarheid, bedrijf zegt niets - update Nieuws van 23 oktober 2024
NCSC deelde informatie met VS en VK zonder wettelijke grondslag
NCSC deelde informatie met VS en VK zonder wettelijke grondslag Nieuws van 30 september 2024
Fortinet bevestigt cyberaanval, mogelijk 440GB aan bedrijfsgegevens gestolen
Fortinet bevestigt cyberaanval, mogelijk 440GB aan bedrijfsgegevens gestolen Nieuws van 13 september 2024
Fox-IT: 1800 systemen met NetScaler ADC bevatten nog backdoor, ook in Benelux
Fox-IT: 1800 systemen met NetScaler ADC bevatten nog backdoor, ook in Benelux Nieuws van 15 augustus 2023
Digital Trust Center waarschuwt voor naderend einde van OpenSSL 1.1.1
Digital Trust Center waarschuwt voor naderend einde van OpenSSL 1.1.1 Nieuws van 9 augustus 2023
Citrix waarschuwt voor kritieke kwetsbaarheid in NetScaler ADC en Gateway
Citrix waarschuwt voor kritieke kwetsbaarheid in NetScaler ADC en Gateway Nieuws van 19 juli 2023
Citrix waarschuwt voor apparaatovernames door gevaarlijk lek in ADC en Gateway
Citrix waarschuwt voor apparaatovernames door gevaarlijk lek in ADC en Gateway Nieuws van 9 november 2022
Barracuda: log4j-bug wordt vooral ingezet voor botnets en ddos-aanvallen
Barracuda: log4j-bug wordt vooral ingezet voor botnets en ddos-aanvallen Nieuws van 3 maart 2022
Nederlandse beveiligingsorganisaties beginnen Security Meldpunt
Nederlandse beveiligingsorganisaties beginnen Security Meldpunt Nieuws van 14 februari 2022
Ernstige kwetsbaarheid in Apache Log4j 2 kan duizenden organisaties treffen
Ernstige kwetsbaarheid in Apache Log4j 2 kan duizenden organisaties treffen Nieuws van 10 december 2021
Meer producten en artikelen
Beveiliging en antivirus Citrix Citrix ADC Citrix Gateway log4j Log4Shell

Reacties (4)

-Moderatie-faq
4
4
1
0
0
2
Wijzig sortering

Sorteer op:

Weergave:
MatthiasL 13 november 2024 19:39
Dat log4j 2 jaar na dato nog in dit lijstje staat is treurig.
berchtold @MatthiasL14 november 2024 16:45
3 jaar. Maarja. Was wel een gevaarlijke
MatthiasL @berchtold14 november 2024 19:05
Eh ja, inderdaad. Alleen maar erger dus ;)

Ik had even een brainfart omdat de rest van het lijstje bijna helemaal 2023 was.
kodak
13 november 2024 20:02
Bij het advies ontbreekt een verantwoording over hoe represenatief de gegevens zijn waarop ze hun conclussies baseren. Helaas gaat dat nog verder door ook nog expliciet verantwoording af te schuiven dat lezers het advies maar 'as is' zouden moeten accepteren.

Het doel lijkt daarmee dus niet om conclussies te trekken op wat de bedrijven en klanten aan wie dit gericht is kunnen accepteren. En voordat nu iemand stelt dat bedrijven of klanten een goede inderbouwing ook niet zomaar zullen accepteren, het punt is dat als je zelf een zeer slechte onderbouwing geeft en verantwoording af schuift er net zo goed een andere conclussie kon staan. En daar lijkt het advies ook op gebouwd. Want dat je maar beter security by design kunt toepassen hangt niet duidelijk af van een toename in gebruik van zero-days. Problemen met onveilig ontwerp en onderhoud kunnen namelijk net zo significant, of zelfs erger, zijn zonder zero-days.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq