-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.06 #############################

Titel           : Kwetsbaarheid gevonden in Citrix ADC, Citrix Gateway
                  en Citrix SD-WAN WANOP
Advisory ID     : NCSC-2019-0979
Versie          : 1.06
Kans            : high
CVE ID          : CVE-2019-19781
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Administrator/Root rechten)
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20200124
Toepassing      : Citrix ADC (Application Delivery Controller)
                  Citrix Gateway
                  Citrix NetScaler
                  Citrix NetScaler ADC
                  Citrix SD-WAN WANOP
Versie(s)       :
Platform(s)     :

Update
   Citrix heeft fixed-builds uitgebracht voor Citrix ADC versie 13.0,
   12.1, 12.0 en 11.1 en Citrix Gateway versie 13.0, 12.1, 12.0 en
   11.1. er zijn ook fixed-builds uitgebracht voor Citrix SD-WAN WANOP.

   Het NCSC heeft geverifieerd dat versies 12.1 en 13.0 van Citrix
   Netscaler ADC en Gateway Server de kwetsbaarheid met kenmerk
   CVE-2019-19781 verhelpen.

Beschrijving
   Citrix meldt dat er een kwetsbaarheid is gevonden in Citrix ADC,
   Citrix Gateway, Citrix Netscaler en Citrix Netscaler ADC. Ook is de
   kwetsbaarheid gevonden in de Citrix SD-WAN WANOP-software.

   De kwetsbaarheid stelt een kwaadwillende op afstand in staat
   willekeurige code uit te voeren onder root-rechten. De aanval
   vereist geen toegang tot accounts en kan door elke willekeurige
   aanvaller worden uitgevoerd.

   Het NCSC heeft geverifieerd dat versies 12.1 en 13.0 van Citrix
   Netscaler ADC en Gateway Server de kwetsbaarheid met kenmerk
   CVE-2019-19781 verhelpen.

   Zie voor meer informatie over de kwetsbare versies en modellen:

   https://support.citrix.com/article/CTX267027

   Voor actuele berichtgeving over de problemen rondom Citrix, houdt u
   de website van het NCSC in gaten:

   https://www.ncsc.nl/actueel/nieuws/2020/januari/19
      /update-advies-patches-citrix

Mogelijke oplossingen
   === Patches ===
   Patchen is alleen effectief als uw netwerk niet gecompromitteerd is.
   Citrix heeft reeds een aantal patches uitgebracht om de
   kwetsbaarheid te verhelpen. De komende tijd zullen meerdere patches
   volgen.

   NetScaler ADC versies 13.0, 12.1, 12.0 en 11.1:
   https://www.citrix.com/downloads/citrix-adc/

   NetScaler Unified Gateway versies 13.0, 12.1, 12.0 en 11.1:
   https://www.citrix.com/downloads/citrix-gateway/

   NetScaler SD-WAN WANOP:
   https://www.citrix.com/downloads/citrix-sd-wan/

   NetScaler Release (Maintenance Phase) 11.1 Build 63.15:
   https://www.citrix.com/downloads/citrix-adc/firmware
      /release-111-build-6315.html

   NetScaler VPX Release 11.1:
   https://www.citrix.com/downloads/citrix-adc/virtual-appliances
      /netscaler-vpx-release-111.html

   NetScaler VPX Release 12.0:
   https://www.citrix.com/downloads/citrix-adc/virtual-appliances
      /netscaler-vpx-release-120.html

   NetScaler Release (Maintenance Phase) 12.0 Build 63.13:
   https://www.citrix.com/downloads/citrix-adc/firmware
      /release-120-build-6313.html

   SDX Bundle (Maintenance Phase) 12.0-63.13:
   https://www.citrix.com/downloads/citrix-adc
      /service-delivery-appliances/sdx-bundle-120-6313.html

   === Mitigerende maatregelen ===

   Citrix heeft maatregelen bekendgemaakt die de kwetsbaarheid
   mitigeren. Indien deze maatregelen niet tijdig doorgevoerd zijn,
   moet u er redelijkerwijs van uitgaan dat uw systeem is
   gecompromitteerd.

   Citrix heeft verder aangegeven dat versie 12.1 build 50.28 (release
   datum 28 november 2018) een probleem heeft dat van invloed is op
   deze door Citrix gepubliceerde maatregelen. Als u die versie in
   gebruik heeft dient u te controleren of u de mitigerende maatregelen
   volledig en op de juiste manier heeft doorgevoerd, *inclusief* de
   maatregelen voor bescherming van de management interface. Indien met
   name dat laatste niet het geval is moet u er ook van uitgaan dat uw
   systeem is gecompromitteerd. Voor overige versies inclusief de
   "refreshed 12.1 build 50.28/50.31" versie (release datum 23 januari
   2019) geldt dit probleem niet.

   De mitigerende maatregelen zijn te vinden op onderstaande pagina:

   https://support.citrix.com/article/CTX267679

   Op de volgende pagina geeft Citrix de tijdlijn met betrekking tot
   het beschikbaar komen van updates:

   https://support.citrix.com/article/CTX267027

   Wij adviseren u deze nauwlettend in de gaten te houden en de update
   te installeren zodra deze beschikbaar is.

   === Verificatie kwetsbaarheid ===

   Citrix heeft de tool Check-CVE-2019-19781 beschikbaar gesteld
   waarmee kan worden vastgesteld of uw systeem kwetsbaar is voor de
   kwetsbaarheid met kenmerk CVE-2019-19871. Ook kunt u met deze tool
   controleren of de mitigerende maatregelen zijn ge´mplementeerd. Is
   uw systeem mogelijk al gecompromitteerd houdt u er dan rekening mee
   dat de output van een dergelijke tool gemanipuleerd kan worden door
   kwaadwillenden. U kunt de tool Check-CVE-2019-19781 downloaden op:

   https://support.citrix.com/article/CTX269180

   Ook het Cybersecurity and Infrastructure Security Agency (CISA),
   voorheen US-CERT, heeft ook een tool beschikbaar gesteld waarmee kan
   worden gecontroleerd of uw systeem kwetsbaar is voor de
   kwetsbaarheid met kenmerk CVE-2019-19871. Zie voor meer informatie:

   https://github.com/cisagov/check-cve-2019-19781

   === Monitoring en detectie ===

   Er zijn verschillende manieren om (pogingen tot) exploiteren van
   Citrix-installaties te detecteren. Dit is mogelijk op netwerkniveau,
   op SIEM-niveau of op de Citrix-installatie zelf.

   SNORT-regel om in ieder geval een van de aanvalscenario's te
   detecteren:
   https://isc.sans.edu/forums/diary
      /Citrix+ADC+Exploits+Overview+of+Observed+Payloads/25704/

   Blogpost FireEye inclusief twee SNORT-regels om misbruik van de
   kwetsbaarheid te kunnen detecteren:
   https://www.fireeye.com/blog/products-and-services/2020/01
      /rough-patch-promise-it-will-be-200-ok.html

   SIGMA-regel om misbruik van de kwetsbaarheid te kunnen detecteren:
   https://github.com/Neo23x0/sigma/blob/master/rules/web
      /web_citrix_cve_2019_19781_exploit.yml

   Houdt hierbij rekening of u TLS-offloading toepast waardoor de SNORT
   -regels niet functioneel zijn.

   === Logbestanden controleren ===

   Bij (mogelijke) compromittatie dient u de integriteit te
   controleren. In het volgende artikel staan verschillende manieren
   beschreven die u daarbij kunnen helpen.

   https://www.poppelgaard.com
      /cve-2019-19781-what-you-should-know-and-how-to-fix-your-citrix-a
      dc-access-gateway

   === Herstelmaatregelen ===

   Wanneer u niet met zekerheid kunt zeggen of kwaadwillenden uw
   systeem hebben gecompromitteerd, bijvoorbeeld omdat u niet tijdig de
   mitigerende maatregelen heeft ge´mplementeerd, dient u ervan uit te
   gaan dat uw systeem is gecompromitteerd. In dat geval adviseren wij
   een herstelplan te gebruiken met in ieder geval aandacht voor de
   volgende punten:

   * De gecompromitteerde systemen af te koppelen van het internet.
   * De gecompromitteerde systemen aan te bieden voor forensisch
   onderzoek.
   * De Citrix systemen te herinstalleren en te voorzien van updates
   en/of mitigerende maatregelen.

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8

wsDVAwUBXitUP0/4qUtG/lqjAQp5vAv7BmJlLv9TCCTJ1i4vDVpH6iAmTrWFSRGZ
l0Ek1Kh5oa3umb1knCoEsb2iHfemdy74YdSMR4rjkU3BcD6Z7Oo7YKbdKofDux9f
D519ZHH209BS7VU0VMK8ivn+OrYESrXzXUOwfv36oPWfqOy6DKU0XQRFjA191eNa
kPuTANMJ1zS/7IKUsFdkWiBqwu6P6Z9eElBad0Fo1QvXNY7unBDY6Df6yeIMwplq
Q4wx4JL6v3hxuK0U11P62OvqV9P0RdUXtZ9ImkHsev7cC5AlEaVZgwATUZeau+le
gZ6TV7wAN8qc4t5Na9ZtHel9QZrjTFQW4SfGqr7Swm4dEvhYiq0u+TX8kxt2d9B/
Sj2JcTvgH2zgiCfL5dc5hZ+H8DDHBNBGP0diiFOXFdKa5VJE0CGDI2QRIu6H91Zq
YVI6gBfrC1Hacm37K6Igy/UzlFRzvykUDSsMvXmEW+4ukQkdlzPPBcmFuUyCZ2VG
fo7kAwx3lIc8fuEXoGxyO8ViW/YYM50v
=Cxt/
-----END PGP SIGNATURE-----