Citrix-systemen van westerse overheden zijn afgelopen mei uitgerust met een achterdeur. Dit gebeurde een maand voordat een beveiligingspatch werd uitgebracht om het gebruikte beveiligingslek te repareren.
De Britse beveiligingsonderzoeker Kevin Beaumont heeft dit recentelijk bekendgemaakt. Volgens hem is de spionagegroep Volt Typhoon verantwoordelijk voor deze backdoor.
GetAuthenticationRequirements.do
“De campagne begon met een kwetsbaarheid in getAuthenticationRequirements.do. Het lijkt erop dat die sindsdien door Citrix is gepatcht… maar er zijn geen technische indicatoren gegeven waarmee organisaties in hun Netscaler web access logs naar aanvallers kunnen zoeken, en beveiligingsleveranciers hebben geen technische analyses gepubliceerd,” aldus Beaumont.
Non-disclosure agreements
De achterdeur blijft na het patchen op het systeem aanwezig. “Citrix verborg eigenlijk het bestaan van de backdoor voor klanten, en besloot het bestaan van de backdoor of technische details niet publiekelijk te maken. Ze hebben ook alleen onder non-disclosure agreements technische scripts aan klanten verstrekt.” Via deze achterdeur hebben kwaadwillenden nog steeds toegang tot de gecompromitteerde systemen.
Reverse engineering
“Dit is een serieuze aanvaller die veel middelen investeert om toegang tot organisaties te behouden via het product dat ze eigenlijk zou moeten beschermen. Het is eigenlijk een alles of niets moment voor het product,” aldus de onderzoeker. “En waarschijnlijk weer een nieuwe waarschuwing in de kolenmijn van leveranciers dat netwerkbeveiligingsapparatuur op een niet eerder waargenomen schaal wordt gereverse engineered.”
Klik hier voor het bericht van Kevin Beaumont.