Miért veszélyes ez a hiba?
A sebezhetőség főleg azokat az eszközöket érinti, amelyeket Gatewayként (VPN virtuális szerver, ICA Proxy, CVPN, RDP Proxy) vagy AAA virtuális szerverként konfiguráltak. A NetScaler ADC és NetScaler Gateway több verziója is érintett, például a 14.1 a 14.1-47.46 előtti, a 13.1 a 13.1-59.19 előtti, valamint a régebbi 12.1 és 13.0 kiadások. Ezekhez a régebbi verziókhoz a gyártó már nem ad ki javítást, ezért frissítés javasolt.
Kezdetben csak DoS-támadásokkal számoltak, de hamar kiderült, hogy a támadók távoli kódvégrehajtást is el tudtak érni a hibán keresztül, így hozzáférhettek bizalmas rendszerekhez, majd utólag törölték a nyomaikat.
Zero-day támadások, hónapokig láthatatlanul
Az NCSC kutatása szerint már május eleje óta aktívan kihasználták a sebezhetőséget, tehát legalább két hónapon át nulladik napi, azaz ismeretlen hibaként volt jelen a rendszerben, mielőtt a Citrix megjelent a hivatalos javítással. Az áldozatok nevét nem hozták nyilvánosságra, de a holland ügyészséget (Openbaar Ministerie) is jelentős támadás érte.
Azonnali frissítés és rendszerellenőrzés
A veszély elhárítása érdekében a cégeknek haladéktalanul frissíteniük kell a NetScaler szoftverüket legalább a 14.1-47.46, 13.1-59.19 vagy ADC 13.1-FIPS/NDcPP 13.1-37.236 verzióra. A frissítés után minden aktív munkamenetet meg kell szakítani, például a kill icaconnection -all vagy kill pcoipConnection -all parancsokkal.
A kibervédelmi szakértők azt tanácsolják, hogy a rendszergazdák alaposan keressenek gyanús fájlokat (például ismeretlen PHP vagy XHTML fájlokat), szokatlan fájlmódosítási időpontokat, valamint azonos nevű, de különböző kiterjesztésű állományokat. Ingyenes eszköz is elérhető az ilyen anomáliák automatikus vizsgálatához, hogy elejét vegyék a további károknak.
