Een groep hackers patcht kwetsbare Citrix ADC en Gateway-servers, waardoor deze niet meer kunnen worden aangevallen via het kritieke beveiligingslek. Het doel hiervan is echter minder mooi dan het lijkt. Door de servers te patchen voorkomen de aanvallers dat anderen de servers kunnen aanvallen. Via een aangebrachte achterdeur houden zij zelf echter toegang tot de servers.

Hackers

Dit melden onderzoekers van beveiligingsbedrijf FireEye. De werkwijze is het werk van een hackersgroep die NOTROBIN wordt genoemd. De groep maakt misbruik van de kwetsbaarheid CVE-2019-19781 om Citrix ADC en Gateway servers binnen te dringen. Eenmaal binnen verwijderen zij eventuele malware die zij aantreffen en prepareren een eigen backdoor, die een nieuwe toegangsmethode geeft tot de servers. Vervolgens dichten zij het beveiligingslek om verder misbruik van de code te voorkomen. Hiermee sluiten zij andere aanvallers uit.

De onderzoekers van FireEye vermoeden dat de aanvallers met hun campagne stilletjes toegang tot Citrix ADC en Gateway servers verzamelen. Door de kwetsbaarheid te dichten proberen zij vermoedelijk detectie te voorkomen. Het is niet duidelijk wat de aanvallers met de servers van plan zijn; FireEye voert nog nader onderzoek uit naar de aanvallen.

Reacties mogelijk gemaakt door CComment