Kwetsbaarheid gevonden in Citrix ADC, Citrix Gateway en Citrix SD-WAN WANOP
Deze pagina gebruikt slimmigheden om officiële advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
| Publicatie | Kans | Schade | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Versie 1.07 | 24-01-2020 | NCSC-2019-0979 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 24-01-2020 |
high
|
high
|
NCSC-2019-0979 [1.07] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Kenmerken |
|
||||||||||||||||||||||||||||||||||||
| Omschrijving |
Citrix meldt dat er een kwetsbaarheid is gevonden in Citrix ADC, Citrix Gateway, Citrix Netscaler en Citrix Netscaler ADC. Ook is de kwetsbaarheid gevonden in de Citrix SD-WAN WANOP-software. De kwetsbaarheid stelt een kwaadwillende op afstand in staat willekeurige code uit te voeren onder root-rechten. De aanval vereist geen toegang tot accounts en kan door elke willekeurige aanvaller worden uitgevoerd. Het NCSC heeft geverifieerd dat versies 12.1 en 13.0 van Citrix Netscaler ADC en Gateway Server de kwetsbaarheid met kenmerk CVE-2019-19781 verhelpen. Zie voor meer informatie over de kwetsbare versies en modellen [Link] Voor actuele berichtgeving over de problemen rondom Citrix, houdt u de website van het NCSC in gaten [Link] |
||||||||||||||||||||||||||||||||||||
| Bereik |
|
||||||||||||||||||||||||||||||||||||
| Oplossingen |
=== Patches === Patchen is alleen effectief als uw netwerk niet gecompromitteerd is. Citrix heeft reeds een aantal patches uitgebracht om de kwetsbaarheid te verhelpen. De komende tijd zullen meerdere patches volgen. NetScaler ADC versies 13.0, 12.1, 12.0, 11.1 en 10.5 [Link] NetScaler Unified Gateway versies 13.0, 12.1, 12.0, 11.1 en 10.5 [Link] NetScaler SD-WAN WANOP [Link] NetScaler Release (Maintenance Phase) 11.1 Build 63.15 [Link] NetScaler VPX Release 11.1 [Link] NetScaler VPX Release 12.0 [Link] NetScaler Release (Maintenance Phase) 12.0 Build 63.13 [Link] SDX Bundle (Maintenance Phase) 12.0-63.13 [Link] === Mitigerende maatregelen === Citrix heeft maatregelen bekendgemaakt die de kwetsbaarheid mitigeren. Indien deze maatregelen niet tijdig doorgevoerd zijn, moet u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd. Citrix heeft verder aangegeven dat versie 12.1 build 50.28 (release datum 28 november 2018) een probleem heeft dat van invloed is op deze door Citrix gepubliceerde maatregelen. Als u die versie in gebruik heeft dient u te controleren of u de mitigerende maatregelen volledig en op de juiste manier heeft doorgevoerd, *inclusief* de maatregelen voor bescherming van de management interface. Indien met name dat laatste niet het geval is moet u er ook van uitgaan dat uw systeem is gecompromitteerd. Voor overige versies inclusief de "refreshed 12.1 build 50.28/50.31" versie (release datum 23 januari 2019) geldt dit probleem niet. De mitigerende maatregelen zijn te vinden op [Link] Op de volgende pagina geeft Citrix de tijdlijn met betrekking tot het beschikbaar komen van updates [Link] Wij adviseren u deze nauwlettend in de gaten te houden en de update te installeren zodra deze beschikbaar is. === Verificatie kwetsbaarheid === Citrix heeft de tool Check-CVE-2019-19781 beschikbaar gesteld waarmee kan worden vastgesteld of uw systeem kwetsbaar is voor de kwetsbaarheid met kenmerk CVE-2019-19871. Ook kunt u met deze tool controleren of de mitigerende maatregelen zijn geïmplementeerd. Is uw systeem mogelijk al gecompromitteerd houdt u er dan rekening mee dat de output van een dergelijke tool gemanipuleerd kan worden door kwaadwillenden. U kunt de tool Check-CVE-2019-19781 downloaden op [Link] Ook het Cybersecurity and Infrastructure Security Agency (CISA), voorheen US-CERT, heeft ook een tool beschikbaar gesteld waarmee kan worden gecontroleerd of uw systeem kwetsbaar is voor de kwetsbaarheid met kenmerk CVE-2019-19871. Zie voor meer informatie [Link] === Monitoring en detectie === Er zijn verschillende manieren om (pogingen tot) exploiteren van Citrix-installaties te detecteren. Dit is mogelijk op netwerkniveau, op SIEM-niveau of op de Citrix-installatie zelf. SNORT-regel om in ieder geval een van de aanvalscenario's te detecteren [Link] Blogpost FireEye inclusief twee SNORT-regels om misbruik van de kwetsbaarheid te kunnen detecteren [Link] SIGMA-regel om misbruik van de kwetsbaarheid te kunnen detecteren [Link] Houdt hierbij rekening of u TLS-offloading toepast waardoor de SNORT -regels niet functioneel zijn. === Logbestanden controleren === Bij (mogelijke) compromittatie dient u de integriteit te controleren. In het volgende artikel staan verschillende manieren beschreven die u daarbij kunnen helpen. [Link] === Herstelmaatregelen === Wanneer u niet met zekerheid kunt zeggen of kwaadwillenden uw systeem hebben gecompromitteerd, bijvoorbeeld omdat u niet tijdig de mitigerende maatregelen heeft geïmplementeerd, dient u ervan uit te gaan dat uw systeem is gecompromitteerd. In dat geval adviseren wij een herstelplan te gebruiken met in ieder geval aandacht voor de volgende punten:
|
||||||||||||||||||||||||||||||||||||
| CVE’s | |||||||||||||||||||||||||||||||||||||
| Kans |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.
|
||||||||||||||||||||||||||||||||||||
| Schade |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.
|
||||||||||||||||||||||||||||||||||||
| Versie 1.07 | 24-01-2020 | NCSC-2019-0979 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 24-01-2020 |
high
|
high
|
NCSC-2019-0979 [1.07] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Citrix heeft fixed-builds uitgebracht voor Citrix ADC en Citrix Gateway versie 10.5 |
||||||||||||||||||||||||||||||||||||
| Versie 1.06 | 24-01-2020 | NCSC-2019-0979 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 24-01-2020 |
high
|
high
|
NCSC-2019-0979 [1.06] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Citrix heeft fixed-builds uitgebracht voor Citrix ADC versie 13.0, 12.1, 12.0 en 11.1 en Citrix Gateway versie 13.0, 12.1, 12.0 en 11.1. er zijn ook fixed-builds uitgebracht voor Citrix SD-WAN WANOP. Het NCSC heeft geverifieerd dat versies 12.1 en 13.0 van Citrix Netscaler ADC en Gateway Server de kwetsbaarheid met kenmerk CVE-2019-19781 verhelpen. |
||||||||||||||||||||||||||||||||||||
| Versie 1.05 | 19-01-2020 | NCSC-2019-0979 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 19-01-2020 |
high
|
high
|
NCSC-2019-0979 [1.05] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Citrix heeft reeds een aantal patches uitgebracht om de kwetsbaarheid te verhelpen. Citrix geeft aan dat Citrix SD-WAN WANOP ook kwetsbaar is voor de kwetsbaarheid met kenmerk CVE-2019-19781. Citrix heeft aangegeven dat versie 12.1 build 50.28 (release datum 28 november 2018) een probleem heeft dat van invloed is op de door Citrix gepubliceerde maatregelen. Zie mogelijke oplossingen voor meer informatie. Dit advies is ook op andere onderdelen aangevuld. Voor actuele berichtgeving over de problemen rondom Citrix, houdt u de website van het NCSC in gaten. |
||||||||||||||||||||||||||||||||||||
| Versie 1.04 | 11-01-2020 | NCSC-2019-0979 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 11-01-2020 |
high
|
high
|
NCSC-2019-0979 [1.04] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Er is exploit code publiek gemaakt. Er is nog geen patch of fix beschikbaar vanuit Citrix. Het advies blijft om de mitigerende maatregelen door te voeren, welke door Citrix zijn geadviseerd. Dit beveiligingsadvies blijft ingeschaald op het hoogste niveau, HIGH/HIGH. |
||||||||||||||||||||||||||||||||||||
| Versie 1.03 | 09-01-2020 | NCSC-2019-0979 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 09-01-2020 |
high
|
high
|
NCSC-2019-0979 [1.03] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Diverse bronnen melden dat actief wordt gescand naar kwetsbare systemen. Vooralsnog is geen actieve exploit in het wild waargenomen, maar deze worden wel verwacht. |
||||||||||||||||||||||||||||||||||||
| Versie 1.02 | 24-12-2019 | NCSC-2019-0979 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 24-12-2019 |
high
|
high
|
NCSC-2019-0979 [1.02] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
In de vorige versie van dit beveiligingsadvies wordt ten onrechte aangegeven dat er updates beschikbaar zijn. Op dit moment zijn alleen mitigerende maatregelen bekend. Citrix geeft wel aan dat er updates aankomen. |
||||||||||||||||||||||||||||||||||||
| Versie 1.01 | 24-12-2019 | NCSC-2019-0979 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 24-12-2019 |
high
|
high
|
NCSC-2019-0979 [1.01] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Op basis van nieuwe informatie is de inschaling van dit beveiligingsadvies bijgewerkt naar High/High. Misbruik van de kwetsbaarheid stelt een kwaadwillende in staat om directe toegang te verkrijgen tot het lokale netwerk en systemen. De aanval vereist geen toegang tot accounts en kan door elke externe aanvaller worden uitgevoerd. |
||||||||||||||||||||||||||||||||||||
| Versie 1.00 | 18-12-2019 | NCSC-2019-0979 | |||||||||||||||||||||||||||||||||||
|
high
|
medium
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 18-12-2019 |
high
|
medium
|
NCSC-2019-0979 [1.00] | Signed-PGP → | |||||||||||||||||||||||||||||||||
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.