Update: Techneut? Lees dit over Citrix aanvallen

Gepubliceerd op 20 januari 2020 om 22:49
Techneut? Lees dit over Citrix aanvallen

Citrix NetScaler breach: Wat is het? En wat kunt u doen?

Op 17 december 2019 is een kwetsbaarheid op verschillende Citrix oplossingen (Citrix Application Delivery Controller, Citrix Gateway en Citrix SD-WAN WANOP) publiekelijk bekendgemaakt. Tot afgelopen weekend was nog geen publieke exploitcode beschikbaar om misbruik te maken van deze kwetsbaarheid. Deze is er nu dus wel. In dit bericht houden wij u op de hoogte van de ontwikkelingen rondom deze kwetsbaarheid.

20 januari 2020 – 19:42:

Citrix is vandaag met een update gekomen over de beschikbaarheid van definitieve patches. Opvolgend aan de patches (voor versie 11.1 en 12.0) die zondag (19 januari 2020) beschikbaar zijn gesteld, wordt verwacht dat de definitieve patches voor overige releases eerder beschikbaar zijn.

In onderstaande tabel is een overzicht van de Citrix patches en verwachte release datum:

Citrix ADC and Citrix Gateway

Version Refresh Build Release Date
11.1 11.1.63.15 January 19, 2020
12.0 12.0.63.13 January 19, 2020
12.1 12.1.55.x January 24, 2020
10.5 10.5.70.x January 24, 2020
13.0 13.0.47.x January 24, 2020

Citrix SD-WAN WANOP

Release Citrix ADC Release Release Date
10.2.6 11.1.51.615 January 24, 2020
11.0.3 11.1.51.615 January 24, 2020

Aanvullend op de update van Citrix heeft ook het NCSC een update gegeven en een stroomschema beschikbaar gesteld. Middels dit stroomschema kan uw organisatie op eenvoudige wijze bepalen in hoeverre de kans aanwezig is dat de kwetsbaarheid is misbruikt door kwaadwillende of geautomatiseerde scripts. Motiv adviseert om bij vermoeden van misbruik aanvullende expertise in te schakelen om incident response en forensische analyse uit te voeren.

Verder blijft het eerder gegeven advies van Motiv ongewijzigd.

18 januari 2020 – 11:44:

Vanuit Citrix en NCSC zijn aanvullende updates gepubliceerd omtrent de kwetsbaarheid, waarvoor op dit moment nog geen patch beschikbaar is.

Het NCSC adviseert om Citrix servers uit te schakelen of aanvullende maatregelen te nemen. Het afsluiten van Citrix servers heeft, afhankelijk van de inzet door de organisatie, mogelijk grote gevolgen voor gebruikers en klanten. Motiv adviseert om middels een goede risico analyse te onderzoeken welke impact het uitschakelen van Citrix heeft voor uw organisatie en op basis daarvan een gewogen besluit te nemen. Het advies om aanvullende maatregelen te nemen, zoals hieronder beschreven, blijft staan.

Daarnaast is er veel onduidelijkheid over de mitigerende maatregelen die door Citrix zelf zijn geadviseerd. Er zijn verschillende meldingen in de media dat deze niet afdoende zijn, wat ondertussen door Citrix zelf ontkracht wordt. Citrix heeft in een update aangegeven dat de workaround in alle bekende scenario’s effectief is. Motiv heeft op dit moment geen indicatie dat de workaround niet effectief is. Belangrijk om te melden is dat deze workaround niet effectief is op de management interface, welke in principe niet direct beschikbaar mag zijn vanuit publieke netwerken, zoals het internet. Desondanks wordt wel geadviseerd aanvullende maatregelen te nemen, om het risico tot een minimum te beperken.

Aanvullend is er meer informatie beschikbaar gekomen over de beschikbaarheid van een patch voor de verschillende releases:

Releases Datum
13 27-01-2020
12.1 27-01-2020
11.1 20-01-2020
10.5 31-01-2020

In geval organisaties het vermoeden hebben dat er misbruik gemaakt is van de kwetsbaarheid is er op Github technische informatie beschikbaar gesteld. Hierin zijn verschillende activiteiten beschreven die uitgevoerd kunnen worden om te valideren of er mogelijk misbruik gemaakt is middels standaard methodieken. Motiv adviseert om bij vermoeden van misbruik aanvullende expertise in te schakelen  om incident response en forensische analyse uit te voeren.

17 januari 2020 – 13:21:

De kwetsbaarheid op de getroffen systemen is dermate complex dat Citrix heeft aangegeven ruim een maand nodig te hebben om een patch te ontwikkelen. Tot op heden is deze patch niet beschikbaar. Citrix heeft in de tussentijd wel een work-around beschikbaar gesteld die misbruik van de kwetsbaarheid moet voorkomen. op donderdag 16 januari 2020 heeft het NCSC bekendgemaakt dat de work-around niet in alle situaties zorgt voor volledige mitigatie. Het advies is daarom om de Citrix omgeving te ontkoppelen van het internet. Er is door Citrix een tool ontwikkeld om te testen of de kwetsbaarheid misbruikt kan worden.

De kwetsbaarheid betreft een zogenaamde Directory Traversal, welke aanvallers de mogelijkheid biedt om zich toegang te verschaffen tot het Citrix systeem (NetScaler) en hierop code uit te voeren. Dit geeft hen de mogelijkheid om volledige toegang tot de Citrix appliance te krijgen.

Adviezen van Motiv

De specialisten van Motiv ondersteunen haar klanten om passende mitigatie toe te passen en onderzoek uit te voeren of misbruik van de kwetsbaarheid al heeft plaatsgevonden. Motiv monitort de ontwikkelingen rond de kwetsbaarheid nauwlettend en waar nodig worden klanten geïnformeerd. Daarnaast geldt er een verhoogde dijkbewaking op het Motiv Security Operations Center (SOC). Dit houdt in dat de netwerken en systemen van de op het Motiv SOC aangesloten klanten nauw in de gaten worden gehouden en klanten van Motiv worden geïnformeerd zodra er indicaties zijn van misbruik van de kwetsbaarheid.

Motiv adviseert organisaties die gebruikmaken van Citrix NetScaler appliances om de volgende maatregelen te treffen:

  1. Onderzoek zo spoedig mogelijk of gebruik wordt gemaakt van een kwetsbare oplossing. Dit kan geverifieerd worden middels het ophalen van informatie uit de Citrix appliances en die te vergelijken met de informatie van Citrix uit hun initiële advisory. Valideer met de beschikbaar gestelde tool of de omgeving kwetsbaar is.
  2. Installeer zo spoedig mogelijk de mitigerende maatregelen, voor zover dat nog niet gedaan is.
  3. Valideer of er al misbruik is gemaakt van de kwetsbaarheid door analyse uit te voeren op de Citrix NetScalers, en loganalyse uit te voeren (op dit moment zien we met name aanvallen op URL’s, waaronder URL’s zoals: /vpns/ /vpn/../vpns/cfg/smb.conf /vpn/../vpns/portal/scripts/newbm.pl).
  4. Indien gebruikgemaakt wordt van een Next Generation Firewall en/of Intrusion Prevention Systeem is het advies om beschikbare signatures zo spoedig mogelijk in ‘Prevent-mode’ te installeren (zoals deze van CheckPoint), indien deze beschikbaar zijn. Belangrijk hierbij is dat SSL-inspectie geactiveerd moet zijn, en het verkeer van Citrix kan inspecteren.
  5. Om toegang tot de omgeving te beperken, maar niet volledig af te sluiten, kan gekozen worden voor een zogenaamd GeoFence Filter. Dit filter zorgt ervoor dat enkel verkeer vanuit gespecificeerde landen toegestaan wordt naar de Citrix oplossing. Op deze manier worden geautomatiseerde scripts uit ‘het buitenland’ geweerd. Dit is helaas niet in alle gevallen een functionaliteit die beschikbaar is.
  6. Maak gebruik van een Web Application Firewall (WAF) oplossing om het Citrix verkeer te inspecteren. Met de Web Application Firewall is het mogelijk om Directory Traversal aanvallen (het type kwetsbaarheid waar het hier over gaat) te detecteren en blokkeren. Binnen Web Application Firewalls van F5 kan gebruikgemaakt worden van specifieke iRules en de Application Security Manager (ASM).
  7. Om problemen volledig te mitigeren kan de organisatie ervoor kiezen om eenzelfde type oplossing volledig voor de Citrix omgeving te plaatsen. Dit is een tijdrovende, en mogelijk kostbare oplossing, maar zorgt op dit moment voor de beste bescherming. Hierbij kan gedacht worden aan de F5 Access Policy Manager (APM) en Pulse Connect Secure oplossingen voor veilig telewerken.

In samenwerking met:

motiv.nl

Ronald van der Westen

COO

Gerelateerd bericht: