{"id":284047,"date":"2023-07-21T08:18:24","date_gmt":"2023-07-21T06:18:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284047"},"modified":"2023-07-21T11:55:31","modified_gmt":"2023-07-21T09:55:31","slug":"citrix-netscaler-adc-wird-ber-cve-2023-3519-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/21\/citrix-netscaler-adc-wird-ber-cve-2023-3519-angegriffen\/","title":{"rendered":"CISA-Warnung: Citrix NetScaler ADC wird über CVE-2023-3519 angegriffen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die US-Cybersicherheitsbeh\u00f6rde CISA warnt Administratoren von Citrix NetScaler ADC Installationen. Bedrohungsakteure haben damit begonnen, die vor einigen Tagen bekannt gewordene NetScaler ADC Schwachstelle CVE-2023-3519 ausnutzen, um Webshells zu implantieren. Administratoren sollten nach Anzeichen einer Kompromittierung suchen.<\/p>\n

<\/p>\n

Schwachstelle in Citrix-Produkten<\/h2>\n

\"\"Vor einigen Tagen hatte ich in einer Warnung an Administratoren von Citrix NetScaler ADC und Citrix Gateway nahegelegt, ihre Installationen zeitnah auf neue Software-Versionen zu aktualisieren. Denn der Hersteller warnt in einer Sicherheitsmeldung vor einer kritischen Remote Code Execution-Schwachstelle in den Produkten. Es wurden Updates f\u00fcr die betreffenden Produkte ver\u00f6ffentlicht, die von Administratoren auf den betreuten Installationen unverz\u00fcglich eingespielt werden sollten. Details finden sich im Blog-Beitrag Kritische RCE-Schwachstelle in Citrix NetScaler ADC und Citrix Gateway<\/a>.<\/p>\n

CISA-Warnung vor Angriffen<\/h2>\n

Die Schwere der Sicherheitsl\u00fccke l\u00e4sst schlimmes bef\u00fcrchten, es ist nur eine Frage der Zeit, bis die Schwachstelle CVE-2023-3519 angegriffen wird. Nun hat die US-Cybersecurity and Infrastructur Authority (CISA) eine konkrete Warnung ver\u00f6ffentlich. Carl Staalhood schreibt auf Twitter dazu:<\/p>\n

Threat Actors Exploiting #Citrix #NetScaler CVE-2023-3519 to Implant Webshells < shell commands to check for signs of compromise<\/p><\/blockquote>\n

und verweist auf die CISA-Warnung Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells<\/a>. Grund f\u00fcr die aktuelle Warnung der CISA vor der Ausnutzung von CVE-2023-3519 ist ein konkreter Fall.<\/p>\n

Im Juni 2023 nutzten Bedrohungsakteure diese Schwachstelle als Zero-Day aus, um eine Webshell auf der nicht produktiven NetScaler ADC-Appliance einer kritischen Infrastrukturorganisation abzulegen. Die Webshell erm\u00f6glichte es den Angreifern, das Active Directory (AD) des Opfers zu erkunden und AD-Daten zu sammeln und zu exfiltrieren. Die Angreifer versuchten, seitlich zu einem Dom\u00e4nencontroller zu gelangen, doch die Netzwerksegmentierungssteuerung der Appliance blockierte die Bewegung.<\/p>\n

Die Opferorganisation erkannte die Kompromittierung und meldete die Aktivit\u00e4ten an CISA und Citrix. Citrix hat am 18. Juli 2023 ein Patch f\u00fcr diese Schwachstelle ver\u00f6ffentlicht. Die CISA-Warnung beschreibt Taktiken, Techniken und Verfahren (TTPs) sowie Erkennungsmethoden, die das Opfer der CISA mitteilte. Das Ganze kann als PDF abgerufen<\/a> werden.<\/p>\n

Die CISA empfiehlt Organisationen mit kritischen Infrastrukturen, die in dieser Empfehlung enthaltenen Erkennungshinweise zu nutzen, um eine Systemgef\u00e4hrdung festzustellen. Wenn eine potenzielle Gef\u00e4hrdung festgestellt wird, sollten die Organisationen die in dieser CSA enthaltenen Empfehlungen zur Reaktion auf Vorf\u00e4lle anwenden. Wenn keine Kompromittierung festgestellt wird, sollten Unternehmen sofort die von Citrix bereitgestellten Patches anwenden.<\/p>\n

Die Leute von Shadowserver haben mindestens 11170 eindeutige IPs gefunden<\/a>, die meisten in den USA (4.1K), die auf angreifbare Citrix-Installationen hindeuten. In Deutschland wurden 1.300 dieser Instanzen gefunden.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die US-Cybersicherheitsbeh\u00f6rde CISA warnt Administratoren von Citrix NetScaler ADC Installationen. Bedrohungsakteure haben damit begonnen, die vor einigen Tagen bekannt gewordene NetScaler ADC Schwachstelle CVE-2023-3519 ausnutzen, um Webshells zu implantieren. Administratoren sollten nach Anzeichen einer Kompromittierung suchen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-284047","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284047","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284047"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284047\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284047"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284047"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284047"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}