Kwetsbaarheden in IT-apparatuur zijn voor hackers goudmijntjes. Wanneer deze kwetsbaarheden niet worden opgemerkt door IT-beheerders, maken hackers er dankbaar gebruik van. Een van de meest recente voorbeelden is (wederom) Citrix ADC. Citrix wordt door organisaties gebruikt om op afstand toegang te krijgen tot vaak belangrijke IT-infrastructuur.
NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt.
Via een kwetsbaarheid genaamd CVE-2023-6548 bestaat de mogelijkheid voor een hacker, die geauthentiseerd is en toegang heeft tot de managementinterface, om code uit te voeren. Het beveiligingslek wordt beoordeeld op een schaal van 1 tot en met 10 met een score van 5.5. Deze impactscore wordt mede bepaald doordat de aanvaller geauthentiseerd moet zijn en toegang moet hebben tot de managementinterface. De kans is dus relatief klein.
Er is een tweede zeroday kwetsbaarheid waarvoor Citrix waarschuwt: CVE-2023-6549. Deze kwetsbaarheid stelt een aanvaller in staat om een denial of service te veroorzaken. Het beveiligingslek heeft een impactscore van 8.2 gekregen. Er bestaat mogelijkheid tot misbruik wanneer de appliance geconfigureerd is als Gateway (VPN virtual server, ICA Proxy, CVPN of RDP Proxy) of AAA virtual server.
De kwetsbaarheden treffen meerdere versies van NetScaler ADC en NetScaler Gateway, meldt Citrix. Het gaat om:
Meerdere monitoringsorganisaties geven aan dat de kwetsbaarheden op dit moment actief worden misbruikt. Dat betekent dat niet geupdate apparaten een bijzonder grote kans lopen om gehackt te worden. Hoe het werkt: Er zijn automatische hackmachines die niets anders doen dan het hele internet afspeuren naar kwetsbare apparaten. Vervolgens slaan de criminele actoren hun slag en breken ze in.
Deze kwetsbaarheden geven nog maar eens aan hoe belangrijk het is om continu updates uit te voeren op uw IT-omgeving en bewust te zijn van de apparatuur die u gebruikt.
U kunt de volgende stappen nemen om de kans te verkleinen dat uw organisatie slachtoffer wordt van cybercriminelen:
Voer regelmatig een grondige risicoanalyse uit om potentiële kwetsbaarheden in kaart te brengen en houd een inventaris bij van alle IT-apparatuur, inclusief servers, computers, netwerkapparaten en IoT-apparaten. Pas wanneer u volledig in kaart hebt welke apparatuur u in de organisatie gebruikt, kunt u zich voorbereiden op de risico's die dit met zich mee kan brengen.
Implementeer patch- en updatebeleid voor alle software en firmware op IT-apparatuur en zorg ervoor dat patches en updates regelmatig worden toegepast om bekende kwetsbaarheden te verhelpen.
Implementeer firewalls, intrusion detection/prevention systems (IDS/IPS) en antivirussoftware (EDR) om het netwerk te beschermen, gebruik sterke wachtwoorden en implementeer 2FA-verificatie en whitelisting waar mogelijk. Vergeet ook niet om deze beveiligingssystemen goed te monitoren. Een inbraakalarm wat afgaat zonder dat er een opvolging plaatsvindt is vrijwel nutteloos.
Onze technische IT-audit helpt u om eventuele kwetsbaarheden en inrichtingsfouten in kaart te brengen. Daarna kunt u gerichte stappen nemen.