Hacker patcht kwetsbare Citrix-servers, maar bouwt backdoor in

Terwijl het nog altijd wachten is op een patch voor een kwetsbaarheid in Citrix-servers, neemt het aantal aanvallen toe. Ondertussen is ook een soort valse Robin Hood opgedoken, die kwetsbare servers patcht, maar toegang voor zichzelf in stand houdt.

Het aantal aanvallen op Citrix-servers die misbruik maken van de recent onthulde kwetsbaarheid in Citrix Application Delivery Controller (ADC) en Citrix Gateway, is in de voorbije week flink toegenomen. De kwetsbaarheid is één van de populairste bugs van het moment bij aanvallers die hopen binnen te dringen bij onder meer bedrijfsnetwerken, ziekenhuizen of overheidsinstellingen.

De reden daarvoor is simpel: de Citrix-hardware is bijzonder populair, is eenvoudig te misbruiken en er is nog geen patch beschikbaar. Bovendien werd recent een proof-of-concept voor een exploit gepubliceerd, waardoor de drempel voor een aanval nog lager ligt. In Nederland is reeds een geval bekend van een ziekenhuis in Leeuwarden dat werd getroffen.

NotRobin

Cybersecurityspecialist FireEye houdt de aanvallen nauwgezet in de gaten en trof tussen de hoop één bijzonder geval aan. Als een soort Robin Hood dropt de aanvaller in kwestie een payload op kwetsbare systemen, die alle malware die hij daar aantreft verwijdert en voorkomt dat andere aanvallers nieuwe payloads kunnen afleveren.

Tegelijk functioneert de payload evenwel ook als een backdoor waardoor de aanvaller zelf wel toegang tot de getroffen Citrix-servers bewaart. Het FireEye-team doopte de malware daarom NotRobin. Hoewel de intenties van de aanvaller nog niet helemaal duidelijk zijn, vermoedt het team dat hij “in alle stilte toegang verzamelt tot NetScaler-apparaten voor een volgende campagne”. NetScaler is de merknaam waaronder de Citrix ADC en Gateway tot voor kort bekend waren.

Geen patch

Het lek werd vorig jaar ontdekt door Positive Technologies, dat Citrix op de hoogte stelde van het probleem voordat het afgelopen december zijn ontdekking publiek maakte. Citrix kwam snel met mitigerend advies om de impact te beperken, maar een patch die de kwetsbaarheid volledig verhelpt, is er nog steeds niet.

Dat is problematisch omdat al snel bleek dat de mitigerende stappen niet even goed werken op alle Citrix-versies, waardoor sommige kwetsbaar blijven voor aanvallen. Het Nederlandse Nationaal Cyber Security Centrum adviseert ondertussen om Citrix-systemen uit te schakelen tot een patch beschikbaar is.

Lees ook: 402 Citrix-servers in België zijn kwetsbaar voor hackers. Ook in België is reeds scanactiviteit gedetecteerd naar kwetsbare systemen. Het zou gaan om zeker 402 kwetsbare servers bij overheidsinstanties, universiteiten, ziekenhuizen, nutsbedrijven en grote banken.