Sårbarheten gjelder for følgende versjoner av NetScaler ADC/Gateway:

NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.13 NetScaler ADC and NetScaler Gateway 13.0 before 13.0-91.13 NetScaler ADC 13.1-FIPS before 13.1-37.159 NetScaler ADC 12.1-FIPS before 12.1-55.297 NetScaler ADC 12.1-NDcPP before 12.1-55.297

NCSC er kjent med masseutnyttelse fra 20. juli. NCSC anbefaler de som har hatt en sårbar instans tilgjengelig på internett fra denne datoen gjør undersøkelser for å avkrefte kompromittering. NCSC anbefaler å ta kontakt med sikkerhetsleverandør og eventuelt deres sektorvise responsmiljø for bistand om nødvendig. Se tidligere utsendte NCSC-varsler 2, 3og vedlagte lenker 4,5,6.

NCSC er kun kjent med at webshell har blitt installert så langt i masseutnyttelsen. NCSC er ikke kjent med at webshell installert i Norge har blitt brukt. Webshell kan brukes til lateral bevegelse, samt ytterligere operasjoner på enheten.

Referanser:

1https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467

[TLP:AMBER+STRICT] Mulig nulldagssårbarhet i Citrix ADC (NetScaler) 3 [TLP:GREEN][NCSC-varsel] Kritisk sårbarhet i Citrix ADC 4 https://www.cisa.gov/sites/default/files/2023-07/aa23-201a_csa_threat_actors_exploiting_citrix-cve-2023-3519_to_implant_webshells.pdf

https://www.mandiant.com/resources/blog/citrix-zero-day-espionage

https://www.deyda.net/index.php/en/2023/07/19/checklist-for-citrix-adc-cve-2023-3519/