Bestaand NCSC-script spoort ook hacks via nieuw NetScaler-lek op

Beheerders van NetScaler-systemen kunnen een script van het Nederlandse NCSC gebruiken om te controleren of aanvallers al bij hen zijn binnengedrongen. Het script is ontwikkeld voor een eerdere kwetsbaarheid, maar werkt ook voor de drie recent onthulde nieuwe kwetsbaarheden.

Het Nationaal Cyber Security Centrum (NCSC) van de Nederlandse overheid biedt een detectiescript aan waarmee Citrix NetScaler-systemen kunnen worden gescand op compromittering. In de netwerkproducten NetScaler ADC en NetScaler Gateway zijn dinsdagmiddag drie nieuwe, kritieke kwetsbaarheden onthuld.

Leverancier Citrix biedt updates aan voor die kwetsbaarheden, maar waarschuwt dat het al aanvallen heeft waargenomen op de kritiekste van de drie kwetsbaarheden. Het NCSC verwacht dat er snel op grote schaal hacks van kwetsbare NetScaler-systemen zullen plaatsvinden. Het dringende advies van Citrix en het Nederlandse cybersecurityorgaan is dan ook om met spoed de uitgebrachte updates te installeren.

Daarnaast kunnen beheerders bij organisaties met NetScaler-systemen een eerder gepubliceerd detectiescript van het NCSC gebruiken. Dat script is ontwikkeld voor het detecteren van compromittering van een eerdere NetScaler-kwetsbaarheid (CVE-2025-6543), maar werkt ook voor de nieuwe kwetsbaarheden, meldt het NCSC. Het detectiescript is te downloaden uit de GitHub-repository van het NCSC. Daar zijn ook instructies te vinden voor het draaien van dit script.

Het beveiligingsprobleem waarvoor het script oorspronkelijk is gemaakt, is eind juni onthuld door Citrix. Het is toen door kwaadwillenden gebruikt voor aanvallen op diverse organisaties, waaronder kritieke organisaties in Nederland. Het Nederlandse Openbaar Ministerie (OM) werd getroffen door aanvallen op NetScaler-kwetsbaarheden en haalde zichzelf offline.

IT-banen

Reacties (22)

fuzzyIon 27 augustus 2025 13:36

Opmerkelijk dat men het niet heeft over de plaats van de netscaler op het netwerk, bijv acher een gaeteway en firewall met een bastionhost ertussrn. Lekken zijn er altijd daar verander je niets aan. Je kunt eel tijd kopen. En dan met scripjes testen of aanvallers binnen zijn of geweest. Een geavanceerde aanvaller wist heus wel sporen uit. Bijna net zo erg is het direct hangen van de netscaler aan het internet.

Tinus7 @fuzzyIon • 27 augustus 2025 15:31

Dan heb je niet begrepen wat een netscaler is. Dit is juist een gateway waar je het over hebt om andere hosts achter te beschermen. Dit is ook waarom er zo vaak lekken gevonden worden in de netscaler software, omdat hier intensief naar wordt gezocht juist omdat ze vanwege hun functie aan internet hangen. Weliswaar hangt niet de managment interface aan het internet, en zitten ze wel achter een firewall, maar toch.

fuzzyIon @Tinus7 • 27 augustus 2025 16:10

Die hoef je toch niet direct aan het internet te hangen? Dat is wat ik bedoelde. Plaats netscaler ergends anders achter. De functionaliteit blijft hetzelfde maar de directe attack surface verminderd.

Tinus7 @fuzzyIon • 27 augustus 2025 18:06

Maar dan kan niemand bij de website(s) waar de netscaler reverse proxy voor is?

fuzzyIon @Tinus7 • 28 augustus 2025 14:24

Exact. Een NetScaler moet direct bereikbaar zijn vanaf internet, want dat is zijn taak als gateway/reverse proxy. En ja, dat betekent dat hij ook direct “in de schietlijn” staat voor exploits.

Daarom zie je ook dat zodra er een Citrix ADC/NetScaler-lek uitkomt, binnen uren de scans en exploits op Shodan en mass-exploiting botnets verschijnen. Denk aan CVE-2019-19781 en later nog een reeks RCE’s: duizenden bedrijven wereldwijd kregen direct aanvallen, simpelweg omdat hun NetScaler publiek bereikbaar was.

Het is een beetje zoals een voordeur van een bank: die moet publiek toegankelijk zijn voor klanten, maar daarom staat er ook zwaar pantserstaal, camera’s en beveiliging omheen. Hardenen betekent dus:

management gescheiden houden (zodat je niet via dezelfde deur ook naar de “achterkant” kunt kruipen),
alleen strikt noodzakelijke poorten open (meestal 443),
patches/migitaties meteen doorvoeren,
en extra lagen als WAF/DDoS-bescherming er eventueel vóór plaatsen.

Dus ja: een NetScaler is altijd een doelwit. De kunst is zorgen dat hij alleen een doelwit is op die ene gecontroleerde front-end functie, en niet op z’n management, OS of oude bugs.

Zero Trust Network Access (ZTNA) is eigenlijk het logische antwoord op de ellende die appliances als NetScaler en F5 jarenlang veroorzaakt hebben: een enorme “single point of catastrophic failure” precies aan de rand van je netwerk.

[Reactie gewijzigd door fuzzyIon op 28 augustus 2025 14:30]

DefaultError 27 augustus 2025 11:02

Met een beetje AI-reverse-engineering ben je ondertussen zo binnen. Wordt tijd dat ook de structuur van werken onder de aandacht komt. Zodat niet via de eerste beste voordeur alle gegevens gesponst kunnen worden.

kevinvs 27 augustus 2025 13:09

Zoals user "friend" al suggereerde onder het eerdere bericht is het inmiddels wel verstandig om het IoC script maar automatisch regelmatig te gaan draaien en afhankelijk van de output alarm te slaan. De netscaler zelf geen geen cronjob functie, maar je kan het script er natuurlijk wel opzetten en regelmatig remote aftrappen.

Gezien de frequentie waarop dit nu voorkomt (3x in 2 maanden tijd) maak ik me wel meer zorgen dan normaal, zeker omdat Citrix de vorige keer vanaf begin niet duidelijk is geweest wat voor aanvullende mitigerende maatregelen, door bv. maar 2 van de 5 kill commando's te delen.

MAX3400 @kevinvs • 27 augustus 2025 13:24

Ik zal verkeerd voorgelicht zijn maar er zit zeker wel een cron-optie in de ADC zoals onder andere door Citrix zelf wordt getoond. Daarnaast is er een (beperkte) shell, gebaseerd op FreeBSD, waar je inderdaad een aantal commando's en zaken kan troubleshooten via een console-sessie (al dan niet via remote ssh).

Neemt niet weg dat we zowel de firmware-backups, alle configs evenals de logging dagelijks offloaden naar een andere (beveiligde) omgeving om niet alleen ver(der) in de tijd terug te kunnen om iets te analyseren maar de ADC's zelf zijn ook relatief klein bemeten en hebben een beperkte interne storage.

En als er wel een hacker / kiddo in je ADC is binnengedrongen, moet je ervanuit gaan dat de hele appliance compromised is en zal je sowieso met regressie moeten zoeken hoe / waar / wanneer dat gebeurd is.

[Reactie gewijzigd door MAX3400 op 27 augustus 2025 13:28]

dnnns 27 augustus 2025 15:57

Iedereen heeft het nu over patchen en dat NCSC-script, maar dat is eigenlijk maar de helft van het verhaal. In 2023 waren er na een Citrix-lek nog duizenden Netscalers die gehackt bleken te zijn, ook al waren ze netjes geüpdatet. Hackers laten gewoon webshells en nieuwe accounts achter, en de slimsten wissen ook meteen de logbestanden. Dus als je script niks vindt, kan dat net zo goed betekenen dat de boel al netjes is opgeruimd.

Daar komt nog bij dat er nog genoeg organisaties draaien op oude versies zoals 12.1 en 13.0 die niet eens meer updates krijgen. Je ziet hetzelfde patroon steeds terugkomen. Patchen is nodig, maar zonder forensisch onderzoek (checken of de hackers al in de systemen zaten voor de patch) en het op tijd vervangen van oude systemen hou je jezelf gewoon voor de gek.

Z80 27 augustus 2025 11:27

Blijkbaar is de feetback link stuk. maar:

Niet Bestaand NCSC-script spoort ook hacks via nieuw NetScaler-lek op.
Maar aangepast script spoort het lek op.
Je moet dus wel de laatste versie downloaden.

De kop van dit bericht is dus niet correct.

johan_L @Z80 • 27 augustus 2025 12:38

Het script is niet specifiek aangepast voor deze situatie, dus in zoverre klopte de tekst wel.

Het spoort ook geen lekken op maar is bedoeld om sporen van misbruik te zoeken

Amiga3000 27 augustus 2025 11:15

Mijn Norton 360 blokkeert zelfs de download van de github omdat de code als trjoan herkent is.

Helaas is dit niet te gebruiken voor opsporen van lekken maar dus wel voor (open) source code die je gebruikt.

MAX3400 @Amiga3000 • 27 augustus 2025 11:22

Vervelend; de code doet niets meer/minder dan find en grep commando's op het "unix-gedeelte" van de ADC. Ik snap dat alsnog dit soort code als onbetrouwbaar wordt gezien vanwege de betrokken directories.

Neemt niet weg dat Norton iets te heftig blijkbaar filtert; zowel Microsoft Defender als TrendMicro APEX laten het .sh-script zonder problemen downloaden op mijn omgevingen.

Amiga3000 @MAX3400 • 27 augustus 2025 13:20

Ja Norton is erg voorzichtig, maar door akkoord te geven kan je nog downloaden :)

xorpd @Amiga3000 • 27 augustus 2025 11:57

Norton kennende wordt voor een echte trojan de rode loper uitgerold

Amiga3000 @xorpd • 27 augustus 2025 13:21

Dat is niet mijn ervaring, doe regelmatig testen en die doorlopen allemaal perfect.

Lahousse 27 augustus 2025 12:43

Helaas melden de eerste slachtoffers zich al van de nieuwe NetScaler kwetsbaarheden. Het is cruciaal dat beheerders de updates van Citrix zo snel mogelijk toepassen. Het NCSC script biedt een nuttige manier om na de patch te controleren op eerdere compromitteringen. Forensisch onderzoek na patchen is essentieel om te bevestigen of er al inbreuken hebben plaatsgevonden. We moeten dus snel handelen om schade te beperken.

HADES2001 @well0549 • 27 augustus 2025 10:50

Nou waarschijnlijk is het iemand geweest die het aan AI gevraagd heeft want als ik chatgpt ergens niet mee vertrouw dan is het wel final checks uitvoeren op software of die veilig is.

MAX3400 @well0549 • 27 augustus 2025 11:06

Buffer overruns zitten in tientallen / duizenden programma's alleen zijn niet altijd dusdanig kritisch omdat de betreffende buffer dan geen kritieke informatie uitspuugt die daarna weer misbruikt kan worden.

Aangezien veel programmatuur in deze wereld, zo ook de Citrix ADC, altijd gebruik maakt van andere software (zoals een webserver-daemon of een php-interpreter of een DLL van Visual Studio), heb je een bepaalde keten van afhankelijkheden die niet altijd door een mens of door ChatGPT gevonden wordt de eerste keren tijdens testen.

De scripts van het NCSC helpen in ieder geval om beheerders van de ADC aanvullende logging / controle te valideren en zo compliant te zijn aan bepaalde regelgeving waarover ze elk jaar een audit krijgen. Het is ook fijn om ook achteraf terug te kunnen vinden "zijn ze binnen geweest" ipv dat niet te controleren en over 3 weken je bedrijfsnaam met aanvullende info op internet terug te vinde.

uiltje @well0549 • 27 augustus 2025 11:55

Dit is alleen detectie om te kijken of het al gehackt is, het wordt waarschijnlijk niet gebruikt om te kijken of je gehackt kan worden. Maar als er een aanval is kan je de aanval ook gewoon uitvoeren - als er niet al een detectie-tool met de aanval wordt meegegeven. Dus eerlijk gezegd snap ik niet waar je het over hebt.

Ik had gehoopt dat er met bestaande broncode controles de meeste buffer overruns wel gedetecteerd zouden worden, zodat C/C++ code net zo veilig zou zijn als een "managed" taal zoals C# en Java - en de meeste script-talen natuurlijk. Dat is echter nooit helemaal gelukt. En zoals al aangegeven bestaat alle code uit een bijeen-raapsel van bibliotheken die ook allemaal gecontroleerd moeten worden.

Geloof me dat een AI hier niet direct verandering in gaat brengen; de makkelijke overruns worden door die tools wel gevonden en de lastige varianten zijn met een LLM net zo moeilijk.

Op dit item kan niet meer gereageerd worden.

Bestaand NCSC-script spoort ook hacks via nieuw NetScaler-lek op

Lees meer

IT-banen

Reacties (22)

Sorteer op:

Weergave: