-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.05 #############################
Titel : Kwetsbaarheid gevonden in Citrix ADC, Citrix Gateway
en Citrix SD-WAN WANOP
Advisory ID : NCSC-2019-0979
Versie : 1.05
Kans : high
CVE ID : CVE-2019-19781
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Administrator/Root rechten)
Toegang tot gevoelige gegevens
Toegang tot systeemgegevens
Uitgiftedatum : 20200119
Toepassing : Citrix ADC (Application Delivery Controller)
Citrix Gateway
Citrix NetScaler
Citrix NetScaler ADC
Citrix SD-WAN WANOP
Versie(s) :
Platform(s) :
Update
Citrix heeft reeds een aantal patches uitgebracht om de
kwetsbaarheid te verhelpen. Zie "Mogelijke oplossingen" voor meer
informatie.
Citrix geeft aan dat Citrix SD-WAN WANOP ook kwetsbaar is voor de
kwetsbaarheid met kenmerk CVE-2019-19781.
Citrix heeft aangegeven dat versie 12.1 build 50.28 (release datum
28 november 2018) een probleem heeft dat van invloed is op de door
Citrix gepubliceerde maatregelen. Zie mogelijke oplossingen voor
meer informatie.
Dit advies is ook op andere onderdelen aangevuld.
Voor actuele berichtgeving over de problemen rondom Citrix, houdt u
de website van het NCSC in gaten.
Beschrijving
Citrix meldt dat er een kwetsbaarheid is gevonden in Citrix ADC,
Citrix Gateway, Citrix Netscaler en Citrix Netscaler ADC. Ook is de
kwetsbaarheid gevonden in de Citrix SD-WAN WANOP-software.
De kwetsbaarheid stelt een kwaadwillende op afstand in staat
willekeurige code uit te voeren onder root-rechten. De aanval
vereist geen toegang tot accounts en kan door elke willekeurige
aanvaller worden uitgevoerd.
Zie voor meer informatie over de kwetsbare versies en modellen:
https://support.citrix.com/article/CTX267027
Voor actuele berichtgeving over de problemen rondom Citrix, houdt u
de website van het NCSC in gaten:
https://www.ncsc.nl/actueel/nieuws/2020/januari/19
/update-advies-patches-citrix
Mogelijke oplossingen
=== Patches ===
Patchen is alleen effectief als uw netwerk niet gecompromitteerd is.
Citrix heeft reeds een aantal patches uitgebracht om de
kwetsbaarheid te verhelpen. De komende tijd zullen meerdere patches
volgen.
NetScaler Release (Maintenance Phase) 11.1 Build 63.15:
https://www.citrix.com/downloads/citrix-adc/firmware
/release-111-build-6315.html
NetScaler VPX Release 11.1:
https://www.citrix.com/downloads/citrix-adc/virtual-appliances
/netscaler-vpx-release-111.html
NetScaler VPX Release 12.0:
https://www.citrix.com/downloads/citrix-adc/virtual-appliances
/netscaler-vpx-release-120.html
NetScaler Release (Maintenance Phase) 12.0 Build 63.13:
https://www.citrix.com/downloads/citrix-adc/firmware
/release-120-build-6313.html
SDX Bundle (Maintenance Phase) 12.0-63.13:
https://www.citrix.com/downloads/citrix-adc
/service-delivery-appliances/sdx-bundle-120-6313.html
=== Mitigerende maatregelen ===
Citrix heeft maatregelen bekendgemaakt die de kwetsbaarheid
mitigeren. Indien deze maatregelen niet tijdig doorgevoerd zijn,
moet u er redelijkerwijs van uitgaan dat uw systeem is
gecompromitteerd.
Citrix heeft verder aangegeven dat versie 12.1 build 50.28 (release
datum 28 november 2018) een probleem heeft dat van invloed is op
deze door Citrix gepubliceerde maatregelen. Als u die versie in
gebruik heeft dient u te controleren of u de mitigerende maatregelen
volledig en op de juiste manier heeft doorgevoerd, *inclusief* de
maatregelen voor bescherming van de management interface. Indien met
name dat laatste niet het geval is moet u er ook van uitgaan dat uw
systeem is gecompromitteerd. Voor overige versies inclusief de
"refreshed 12.1 build 50.28/50.31" versie (release datum 23 januari
2019) geldt dit probleem niet.
De mitigerende maatregelen zijn te vinden op onderstaande pagina:
https://support.citrix.com/article/CTX267679
Op de volgende pagina geeft Citrix de tijdlijn met betrekking tot
het beschikbaar komen van updates:
https://support.citrix.com/article/CTX267027
Wij adviseren u deze nauwlettend in de gaten te houden en de update
te installeren zodra deze beschikbaar is.
=== Verificatie kwetsbaarheid ===
Citrix heeft de tool Check-CVE-2019-19781 beschikbaar gesteld
waarmee kan worden vastgesteld of uw systeem kwetsbaar is voor de
kwetsbaarheid met kenmerk CVE-2019-19871. Ook kunt u met deze tool
controleren of de mitigerende maatregelen zijn geïmplementeerd. Is
uw systeem mogelijk al gecompromitteerd houdt u er dan rekening mee
dat de output van een dergelijke tool gemanipuleerd kan worden door
kwaadwillenden. U kunt de tool Check-CVE-2019-19781 downloaden op:
https://support.citrix.com/article/CTX269180
Ook het Cybersecurity and Infrastructure Security Agency (CISA),
voorheen US-CERT, heeft ook een tool beschikbaar gesteld waarmee kan
worden gecontroleerd of uw systeem kwetsbaar is voor de
kwetsbaarheid met kenmerk CVE-2019-19871. Zie voor meer informatie:
https://github.com/cisagov/check-cve-2019-19781
=== Monitoring en detectie ===
Er zijn verschillende manieren om (pogingen tot) exploiteren van
Citrix-installaties te detecteren. Dit is mogelijk op netwerkniveau,
op SIEM-niveau of op de Citrix-installatie zelf.
SNORT-regel om in ieder geval een van de aanvalscenario's te
detecteren:
https://isc.sans.edu/forums/diary
/Citrix+ADC+Exploits+Overview+of+Observed+Payloads/25704/
Blogpost FireEye inclusief twee SNORT-regels om misbruik van de
kwetsbaarheid te kunnen detecteren:
https://www.fireeye.com/blog/products-and-services/2020/01
/rough-patch-promise-it-will-be-200-ok.html
SIGMA-regel om misbruik van de kwetsbaarheid te kunnen detecteren:
https://github.com/Neo23x0/sigma/blob/master/rules/web
/web_citrix_cve_2019_19781_exploit.yml
Houdt hierbij rekening of u TLS-offloading toepast waardoor de SNORT
-regels niet functioneel zijn.
=== Logbestanden controleren ===
Bij (mogelijke) compromittatie dient u de integriteit te
controleren. In het volgende artikel staan verschillende manieren
beschreven die u daarbij kunnen helpen.
https://www.poppelgaard.com
/cve-2019-19781-what-you-should-know-and-how-to-fix-your-citrix-a
dc-access-gateway
=== Herstelmaatregelen ===
Wanneer u niet met zekerheid kunt zeggen of kwaadwillenden uw
systeem hebben gecompromitteerd, bijvoorbeeld omdat u niet tijdig de
mitigerende maatregelen heeft geïmplementeerd, dient u ervan uit te
gaan dat uw systeem is gecompromitteerd. In dat geval adviseren wij
een herstelplan te gebruiken met in ieder geval aandacht voor de
volgende punten:
* De gecompromitteerde systemen af te koppelen van het internet.
* De gecompromitteerde systemen aan te bieden voor forensisch
onderzoek.
* De Citrix systemen te herinstalleren en te voorzien van updates
en/of mitigerende maatregelen.
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8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=Q4a/
-----END PGP SIGNATURE-----
