Ik zie geen reden waarom je niet naar v14 zou moeten upgraden, de hogere versies van 13 patchen deze kwetsbaarheid sowieso. Ik ben het eens, geen reden om versie 14 aan te bevelen, het beschermt je niet beter dan een recente versie van 13.
Waarschijnlijk overstappen op Citrix Cloud Connector.
Voor zover ik begrijp, vindt veel van de ADC-magië plaats in aangepaste kernel code, dus er zou veel ontwikkelwerk nodig zijn om te upgraden naar een nieuwere versie.
Enkele details - Citrix ADC 101 - Fundamentals – Deyda.net.
Mandiant heeft hier een scanner voor gebouwd.
Let op dat deze alleen bedoeld is om specifieke webshells te detecteren die verband houden met de bekende aanvallen, dus het kan alleen een positieve “Webshell gevonden” bewijzen, niet een negatieve.
Zelfde vraag hier. Ik heb op de dag van de release gepatcht, en nu lig ik hier in bed en wil ik in slaap vallen, maar vraag ik me af of ik nog meer moet controleren via VPN…
Citrix zal een Indicators of Compromise (IOC) script leveren dat je kunt gebruiken op elke NetScaler, bel support en zij kunnen je de meest recente versie geven.
Beveiligingssoftware detecteerde dat wachtwoordhashes gestolen werden.
We zijn hierop getroffen, hoewel niet zo ernstig. We merkten het omdat de Netscaler meerdere keren crashte.
Dit zou een goede leesstof voor je kunnen zijn! Meer achtergrondverhaal en twee manieren om IoC’s te vinden.
Het gebruik van een Citrix Netscaler wordt algemeen geaccepteerd als een goede enterprise-ontwerp.
Elk detail waar mensen over zeuren, zoals deze SMB-poort, is een klein detail dat niets verandert. De Netscaler controleert de authenticatie van elke gebruiker. Als het gecompromitteerd is en door de definitie van wat het product doet, kan ik wachtwoorden en MFA-tokens vastleggen. Het moet dan RDP-toegang hebben tot interne servers omdat dat de bedoeling is.
Je server zal op haar beurt SMB-toegang hebben tot een domeincontroller, want dat is hoe inloggen werkt.
Ja, wij lieten de onze internet-exposed, maar alleen toegang toestaan vanaf onze VPN en kantoor-IP-ranges.
Het volledig openstellen voor het internet is eigenlijk vragen om problemen.
Netscalers zouden veel baat hebben bij het achter een set Conditional Access policies te plaatsen of iets dergelijks.
We hebben deze specifieke ‘tracks’ niet gezien, maar wel soortgelijke. We hebben een publiekelijk beschikbare .php gebruikt om een achterdeur te creëren, en we hebben platte tekst wachtwoorden gestolen via de webinterface. We gingen ervan uit dat de ingebouwde LDAP-inloggegevens gecompromitteerd waren, maar dat weten we niet zeker.
RODC zou nog steeds een wachtwoordhash dump geven. Het voorkomt alleen dat ze nieuwe accounts kunnen aanmaken.
Je kunt nog steeds Kerberos golden ticket-aanvallen uitvoeren op RODC’s.
De echte les is dat 100% van alles dat internettoegankelijk is, MFA nodig heeft.
Je kunt nog steeds hashes dumpen van ntds.dit op RODC’s… verkeer van de DMZ zou nooit de interne subnetten mogen bereiken. Basis AD-logboekmonitoring zou dit hebben opgemerkt. Het is jammer… Succes OP.
Nee? Daarom gebruik je VPN en exposeer je je kritieke infrastructuur niet.
Niet aanbevolen… Afzonderlijk bos als die DMZ-diensten AD-functionaliteit nodig hebben.
Een trust-relatie zou de enige acceptabele oplossing zijn in dit scenario.
https://www.stigviewer.com/stig/active\_directory\_domain/2022-08-26/finding/V-243473