Controles voor de Citrix ADC compromittatie / Checks to see if your Citrix ADC is compromised
15 Jan 2020 - Frank Breedijk
In mij vorige blogpost schreef ik dat het zeer goed mogelijk is dat Citrix ADC systemen waarna 11 januari de mitigate op is toegepast reeds overgenomen zijn. Inmiddels komen hierover de eerste berichten binnen. Het Sans Internet Storm Center meld dan ook dat systemen massaal misbruikt worden
Hieronder staan twee goede artikelen met gedetailleerde instructies die je kunt gebruiken om je Citrix systeem te controleren op misbruik:
- TrustedSec - Netscaler Remote code execution forensics
- x1sec - Citrix ADC (NetScaler) CVE-2019-19781 DFIR Notes
- NerdScaler - Citrix ADC CVE-2019-19781 exploited! What now?
English
In my previous blogpost I wrote that it is very likely that any Citrix ADC that did not have the mitigations applied after the 11th of Janary is compromised. By now we are receiving the first reports on this. The Sans Internet Storm Center is also reporting that systems are being mass compromised.
Below I’ve listed two good articles about actions that can be taken to check if and how a system is compromised:
- TrustedSec - Netscaler Remote code execution forensics
- x1sec - Citrix ADC (NetScaler) CVE-2019-19781 DFIR Notes
- NerdScaler - Citrix ADC CVE-2019-19781 exploited! What now?
Last modified: 18 Jan 2023 13:28 CET