Newsroom

UPDATE: Advies installatie patches Citrix ADC en Citrix Gateway servers

Citrix stelt op vrijdagavond 24 januari 2020 nieuwe en -naar verwachting- de laatste patches beschikbaar voor de softwarepakketten Netscaler ADC en Gateway Server. Lees hier de nieuwste update.

Meer weten? Neem contact op met Patrick

Patrick van der Rijt, Risk, Security & Compliance Manager
T: 088 446 0000
LinkedIn

UPDATE 23 JANUARI

Citrix stelt op vrijdagavond 24 januari 2020 nieuwe en -naar verwachting- de laatste patches beschikbaar voor de softwarepakketten Netscaler ADC en Gateway Server. 

Ons advies:

Installeer de patches en houd rekening met het volgende:

  • Blijf monitoring en detectie toepassen op misbruik.
  • Patchen is alleen effectief als je netwerk niet gecompromitteerd is. Op basis van je risicoafweging kun je bepalen in hoeverre dit aannemelijk is.
  • Het nemen van mitigerende maatregelen dient gebaseerd te zijn op een risicoafweging van de organisatie zelf.
  • Als je de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 hebt toegepast, kun je er redelijkerwijs van uitgaan dat je systeem is gecompromitteerd vanwege het bekend worden van publieke exploits.
  • Analyseer logbestanden vanaf 17 december 2019, omdat Citrix op dat moment de kwetsbaarheid gepubliceerd heeft. Als je systeem is gecompromitteerd, stel dan een herstelplan op met daarin onder andere de volgende acties:

 

  • De gecompromitteerde systemen afkoppelen van het internet.
  • De gecompromitteerde systemen aanbieden bij een partij voor forensisch onderzoek.
  • De Citrix-systemen her-installeren en deze voorzien van de mitigerende maatregelen en de patches zodra die beschikbaar zijn.
  • Het implementeren van monitoringsmaatregelen om misbruik van de kwetsbaarheid te detecteren, zodat verdere compromittatie kan worden opgespoord. Vergeet hierbij niet de systemen die verbonden zijn geweest met de kwetsbare systemen gedurende het tijdsvenster van compromittatie.

 

Aangezien organisatiebrede identificatie- en autorisatiesystemen met de kwetsbare systemen verbonden kunnen zijn, kan dit verstrekkende gevolgen hebben. Voor sommige Citrix systemen geldt dat er private tls-sleutels opgeslagen staan die dan ook als gecompromitteerd beschouwd moeten worden. Het uitgeven van nieuwe tls-certificaten is dan noodzakelijk evenals het laten intrekken van de gecompromitteerde certificaten.

 

Overige adviezen:

  • Voer een risicoanalyse uit om specifieke risico's voor jouw organisatie te adresseren en eventueel aanvullende beschermende maatregelen te nemen.
  • Communiceer richting eindgebruikers, ICT-beheerders en helpdeskmedewerkers om tijd en ruimte vrij te maken zodat eventuele extra werkzaamheden gepland kunnen worden.

 

We willen blijven benadrukken dat ‘patch management’ een cruciaal onderdeel is van jouw beveiligingsbeleid. Het volgen van advisories en zo snel mogelijk uitvoeren is meer dan ooit een belangrijke taak. De cyber aanvallen van de afgelopen weken op B.V. Nederland laten dit maar weer eens zien.

Heb je hulp nodig of wil je advies? Neem contact met ons op! Ben je klant? Neem dan contact op met jouw servicemanager.

UPDATE 21 JANUARI

Het eerder door NCSC gegeven advies van 17 januari 2020 over kwetsbaarheden in Citrix ADC en Citrix Gateway servers is nog altijd actueel. Op zondag 19 januari 2020 zijn vanuit Citrix Patches beschikbaar gesteld.

Voor de versies 11.1 en 12.0 adviseren wij om deze patches onder de hieronder uiteengezette voorwaarden te installeren. Voor de overige versies wordt eind deze week een update verwacht.

Let op: mitigerende maatregelen dienen in alle gevallen gebaseerd te zijn op een risicoafweging van jouw organisatie.

Risico afwegen? Zie onderstaand stroomschema van het NCSC:

Bron: NCSC

Beschikbaarheid patches

Let op: Patchen is alleen effectief als je netwerk niet gecompromitteerd is.

Op basis van jouw risicoafweging kun je bepalen in hoeverre dit aannemelijk is. Blijf - na de installatie van de patches- monitoren en detectie toepassen op misbruik van de kwetsbaarheden.

  • Indien je de door Citrix gepubliceerde mitigerende maatregelen hebt toegepast vóór 9 januari 2020 (publicatie exploit) en je gebruikt versie 11.1 of 12.0 van Citrix ADC en Citrix Gateway servers,  patch de door jou gebruikte versie  dan zo snel mogelijk.
  • Als je de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 hebt toegepast, kun je er redelijkerwijs van uitgaan dat jouw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits. Stel een herstelplan op zoals uitgelegd in de sectie “Mogelijke compromittatie” in het bericht van het NCSC.
  • Stel zeker dat patches afkomstig zijn van een vertrouwde bron.
  • Tot slot kun je nog aanvullende acties ondernemen, welke wij beschreven in de update op 17 januari (zie hieronder) of het bericht van het NCSC in de sectie 'Wat kunt u doen als u gebruikt wilt blijven maken van Citrix?'

Voor meer informatie m.b.t. advies en mogelijke compromittatie verwijzen wij je door naar het bericht van het NCSC.

UPDATE 17 JANUARI

Eerder raadden we aan om maatregelen te nemen om het lek te dichten totdat er een update beschikbaar is. Deze maatregelen blijken niet voldoende te zijn. Het NCSC benadrukt dat er op dit moment voor alle versies van Citrix geen betrouwbare oplossing is. Wij adviseren om kritieke business applicaties zo veel mogelijk te monitoren om erachter te komen waar de lek zit en eventueel je wachtwoorden te wijzigen. 

Detron heeft inmiddels intern maatregelen genomen en contact gehad met alle klanten die gebruikmaken van deze Citrix-omgeving. Alle Citrix ADC-servers zijn inmiddels beperkt toegankelijk vanaf het internet of de toegang tot internet is afgesloten. 

Wat kun je doen? Ons advies: 

  • Maak inzichtelijk wat de impact is van het uitzetten van de Citrix ADC en Gateway servers. 
  • Zet uit! Is het uitzetten niet acceptabel? Dan is het advies om intensief te monitoren op mogelijk misbruik. Denk hier aan afwijking op CPU & memory gebruik, focus op afwijkingen binnen applicaties/systemen die te benaderen zijn vanuit de Citrix Netscaler.
  • Volg de adviezen van de fabrikant Citrix rondom deze kwetsbaarheid, zie website. 
  • Activeer indien mogelijk IPS signatures van jouw IPS fabrikant en monitor de IPS op het afgaan op deze signatures. Zie link voor checkpoint en deze link voor Cisco.  
  • Informeer je medewerkers en maak ze alert. Vraag ze om ‘vreemde’ zaken te melden. Beter een keer te veel gemeld, dan helemaal niet. 
  • Volg de ‘Security Advisories’ van CitrixCitrix forums, het NCSC e.d. 
  • Patch de Citrix Netscaler direct als de patch beschikbaar komt vanuit Citrix. Op 21 jan verwacht men de eerste patches vanuit CitrixZie link voor meer informatie. 
  • Als laatste kun je nog kijken naar het whitelisten/blacklisten (blokkeren/toestaan) van specifieke IP-adressen of IP-blokken.  

 

Heb je hulp nodig of wil je advies? Neem contact met ons op! 

Waarmee kunnen we je helpen?

Actuele ICT vragen van bedrijven en organisaties hebben we geclusterd in thema’s. Voor welke uitdaging sta jij? 

Bekijk onze themas