Over Citrix CVE-2019-19781.

Afgelopen december werden we opgeschrikt door de berichten dat Citrix ADC (voorheen Citrix NetScaler) lek zou zijn. Citrix ADC maakt het bijvoorbeeld mogelijk om extern (vanaf huis of een andere locatie) in te loggen op het netwerk van het bedrijf waarvoor je werkt. In dit artikel vertel ik wat het Citrix-lek CVE-2019-19781 inhoudt, geef ik informatie over de patch en vertel ik hoe je in een organisatie om kunt gaan met lekken zoals dit Citrix-lek. Om je een voorbeeld te geven waar Citrix zoal gebruikt wordt: veel gemeenten, ziekenhuizen en multinationals maken gebruik van deze toepassing met Citrix ADC. Overigens gaat het niet enkel om Citrix ADC maar ook om: Citrix Gateway, Citrix Netscaler, Citrix Netscaler ADC en Citrix SD-WAN WANOP.

De kwetsbaarheid

Het is via deze kwetsbaarheid mogelijk code uit te voeren op afstand (remote code execution) op de Citrix ADC en vervolgens toegang te krijgen tot het bedrijfsnetwerk. In het kort: een kwaadwillende kan dus toegang krijgen tot het systeem dat Citrix ADC zou moeten beschermen. De kwaadwillende krijgt dan zogenaamde “admin” rechten en kan dus alles doen op het netwerk. Denk aan bijvoorbeeld het verkrijgen van toegang tot gevoelige informatie en persoonsgegevens.

Mitigatie en patchen

Omdat er niet direct patches voor handen waren, is er door Citrix besloten mitigatie plannen uit te geven. Kort samengevat gaat het om het volgende:

Citrix CVE-2019-19781

Whitelisting IP’s:

Enkel toestaan van bepaalde IP-adressen. Effectief maar kost veel beheer resources. Zeker bij grote organisaties waar veel medewerkers vanaf buiten connectie maken met het bedrijfsnetwerk is het bijna onmogelijk alle IP-adressen te whitelisten die connectie mogen maken.

 

Webapplication Firewall (WAF)

Het is mogelijk, als dit al niet gedaan is, de gehele Citrix omgeving achter een WAF te plaatsen. Het is dan mogelijk filters toe te passen om het verkeer te regelen en zodoende kwaadwillende het moeilijker maken om een aanval uit te voeren.

Wat is er speciaal aan Citrix ADC versie 12.1 build 50.28?

Voor versie 12.1 build 50.28 bleken de te nemen maatregelen zoals hierboven afgebeeld niet altijd te werken. De kans is dus groot dat een systeem dat op deze versie draait gecompromitteerd is. Dit betekent dat een kwaadwillende in het systeem is geweest.

Het National CyberSecurity Centrum, NCSC schreef hier al over: https://www.ncsc.nl/actueel/nieuws/2020/januari/16/door-citrix-geadviseerde-mitigerende-maatregelen-niet-altijd-effectief) en raadde daarom aan dit systeem hoe dan ook offline te halen.

Patches

Een patch is een oplossing voor het probleem dat ontstaan is. Het dicht het lek en zorgt ervoor dat het systeem weer veilig(er) wordt. Hierbij wel de opmerking dat een patch enkel effectief is als het netwerk niet gecompromitteerd is geweest. Anders is het nog steeds mogelijk dat een kwaadwillende zichzelf, ook na de patch, toegang kan verschaffen tot het netwerk.

Er zijn inmiddels patches uitgegeven door Citrix. Een lijst vind je hieronder:

NetScaler versie 11.1 build 63.15

zie: https://www.citrix.com/downloads/citrix-adc/firmware/release-111-build-6315.html

NetScaler VPX 11.1

Zie: https://www.citrix.com/downloads/citrix-adc/virtual-appliances/netscaler-vpx-release-111.html

NetScaler VPX 12.0

Zie: https://www.citrix.com/downloads/citrix-adc/virtual-appliances/netscaler-vpx-release-120.html

Netscaler 12.0 63.13

Zie: https://www.citrix.com/downloads/citrix-adc/firmware/release-120-build-6313.html

SDX Bundle v. 12.0 63.13

Zie: https://www.citrix.com/downloads/citrix-adc/service-delivery-appliances/sdx-bundle-120-6313.html

Hoe ga ik om met het Citrix-lek?

Wij adviseren om onderstaande stappen te doorlopen. Hiermee zorg je ervoor dat de impact van het lek zo minimaal mogelijk wordt.

Controle

Het is goed eerst te controleren of het systeem kwetsbaar is. Het is tevens de verificatie tool waarmee kan worden vastgesteld of de patches hun werk hebben gedaan. De tool kan worden gedownload vanaf:

https://support.citrix.com/article/CTX269180

CISA gaf ook een tool uit:

https://github.com/cisagov/check-cve-2019-19781

Zorg voor een plan

Het moet duidelijk zijn dat deze kwetsbaarheid groot is en grote gevolgen heeft. De leer die hieruit getrokken moet worden is dat er een plan klaar ligt. Natuurlijk is het zo dat je niet iedere kwetsbaarheid kunt beschrijven maar je moet als organisatie wel weten wat je moet doen als systemen als Citrix geplaagd worden kwetsbaarheden als deze.

Daarom is het goed een plan te hebben:

  1. Zorg dat je goed voorbereid bent. Wie moeten er bijvoorbeeld gewaarschuwd worden als er een dergelijk probleem zich voordoet?
  2. Hoe gaat de organisatie om met een kwetsbaarheid op deze schaal?
  3. Als de organisatie afhankelijk is van dit systeem (kritiek systeem) kan dit systeem dan offline? Is dit geaccepteerd verlies?
  4. Hoe kan de schade zo veel mogelijk beperkt worden? Denk aan back-ups, redundantie in systemen en het uitzetten van systemen. Het segmenteren van netwerken hoort hier ook bij.
  5. Hierboven werd al genoemd dat de genoemde mitigatie op versie 12.1 build 50.28 geen zin heeft. Er kan dus een kwaadwillende in het systeem zijn geweest. Is het mogelijk forensisch onderzoek te doen om dit uit te sluiten of juist bewijs te verzamelen?
  6. Uiteindelijk moet het systeem weer gaan draaien. Hoe zit het dus met uitroeien van het problemen en de mogelijkheid op recovery?

Vind je het lastig om zulke plannen te schrijven? Wil je weten hoe verder om te gaan met mogelijke lekken in je systemen? Den Ouden Informatiebeveiliging helpt je graag. Verschillende bedrijven hebben we hiermee al geholpen. Neem dus gauw contact met ons op. Zelf aan de slag? Jochen geeft de training Incident Handling & Response bij Global Knowledge op verschillende momenten dit voorjaar.