Het NCSC constateert ernstige kwetsbaarheden in Citrix ADC en Citrix-servers. Dit is voorheen bekend als Citrix Netscaler. Deze kwetsbaarheid wordt ingeschaald op een 9,8 op een schaal van 1 t/m 10.
Veel Nederlandse Citrix-servers zijn daardoor kwetsbaar voor aanvallen, waarvoor inmiddels ook exploits beschikbaar zijn. Hiermee is misbruik van de kwetsbaarheid mogelijk.
Advies
Het NCSC adviseert iedereen die deze software gebruikt dringend om zo snel mogelijk maatregelen te nemen. Citrix heeft ze inmiddels beschikbaar.
Wie recent al maatregelen nam moet toch waakzaam blijven. Het kan alsnog zijn dat dat kwaadwillenden toegang kunnen hebben tot het eigen netwerk. Het bedrijf is hard aan het werk voor een patch.
Het NCSC adviseert:
- Inventariseer of in uw organisatie mogelijk kwetsbare Citrix systemen aanwezig zijn.
- Inventariseer of u kwetsbaar bent. Hiervoor is inmiddels een tool beschikbaar. Deze kunt u hier vinden.
- Er is nog geen beveiligings-update. Wel zijn er mitigerende maatregelen gepubliceerd door Citrix. Implementeer zo spoedig mogelijk deze mitigerende maatregelen.
- Controleer of deze mitigerende maatregelen effectief zijn. Gebruik hiervoor bovengenoemde tool.
- Houdt er rekening mee dat u mogelijk een gecompromitteerd systeem heeft. Dit kan vóór de mitigatie gebeurd zijn, of wanneer de mitigatie niet effectief bleek.
Houdt in de gaten wanneer Citrix een beveiligings-update voor deze kwetsbaarheid beschikbaar stelt. - Implementeer zo snel mogelijk de Citrix beveiligings-update wanneer deze beschikbaar is.
Als een kwaadwillende (een poging tot) code execution doet, worden xml-bestanden aangemaakt en aangeroepen. Deze staan in vpns/portal/ directories. De inhoud van een dergelijk xml bestand kan een indicatie geven over mogelijk misbruik.
Let op: er is een kans dat een dergelijk xml bestand als een executable wordt gelezen. Hierover is nog onvoldoende informatie bekend.
Gateway-servers
Eerder maakten beveiligingsonderzoekers bekend dat aanvallers actief zoeken naar kwetsbare Citrix ADC en Citrix Gateway-servers, voorheen bekend als Citrix Netscaler. Dinsdag 24 december 2019 gaf het NCSC al een High/High beveiligingsadvies uit.
Bij misbruik van deze kwetsbaarheid krijgt een kwaadwillende directe toegang tot het lokale netwerk en systemen. De aanval vereist geen toegang tot accounts en kan door elke willekeurige aanvaller worden uitgevoerd.
