Masseutnyttelse av Citrix Netscaler-sårbarhet CVE-2023-3519
Det pågår masseutnyttelse av Citrix Netscaler-sårbarheten CVE-2023-3519. Flere norske virksomheter er berørt.
Sårbarheten gjelder for følgende versjoner av NetScaler ADC/Gateway:
NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.13 NetScaler ADC and NetScaler Gateway 13.0 before 13.0-91.13 NetScaler ADC 13.1-FIPS before 13.1-37.159 NetScaler ADC 12.1-FIPS before 12.1-55.297 NetScaler ADC 12.1-NDcPP before 12.1-55.297
NCSC er kjent med masseutnyttelse fra 20. juli. NCSC anbefaler de som har hatt en sårbar instans tilgjengelig på internett fra denne datoen gjør undersøkelser for å avkrefte kompromittering. NCSC anbefaler å ta kontakt med sikkerhetsleverandør og eventuelt deres sektorvise responsmiljø for bistand om nødvendig. Se tidligere utsendte NCSC-varsler 2, 3og vedlagte lenker 4,5,6.
NCSC er kun kjent med at webshell har blitt installert så langt i masseutnyttelsen. NCSC er ikke kjent med at webshell installert i Norge har blitt brukt. Webshell kan brukes til lateral bevegelse, samt ytterligere operasjoner på enheten.
Referanser:
2 [TLP:AMBER+STRICT] Mulig nulldagssårbarhet i Citrix ADC (NetScaler) 3 [TLP:GREEN][NCSC-varsel] Kritisk sårbarhet i Citrix ADC 4 https://www.cisa.gov/sites/default/files/2023-07/aa23-201a_csa_threat_actors_exploiting_citrix-cve-2023-3519_to_implant_webshells.pdf
5 https://www.mandiant.com/resources/blog/citrix-zero-day-espionage
6 https://www.deyda.net/index.php/en/2023/07/19/checklist-for-citrix-adc-cve-2023-3519/