Kwetsbaarheid in de Citrix Netscaler oplossing (concurrent van onze F5 ADC)

De Citrix Netscaler vulnerability (CVE-2019-19781) heeft ook in Nederland het nodige stof doen opwaaien.

In de media heeft u er al veel over gelezen en gehoord. Veel organisaties maken gebruik van de Citrix oplossing voor remote access, waaronder ziekenhuizen, gemeentes en de overheid.
Deze Citrix vulnerability wordt in de beveiligingswereld als kritisch aangemerkt. Zo ook vanuit ons Nederlandse National Cyber Security Center (NCSC).

 

Citrix heeft in December van 2019 al melding gemaakt rondom deze kwetsbaarheid en een snelle workaround beschikbaar gesteld, daar er nog geen security patch voor was. Deze patch hoop Citrix op 20 januari 2020 te hebben.

Conscia heeft de afgelopen dagen een belrondje gedaan naar haar relaties waarvan wij weten dat zij Citrix gebruiken. Gelukkig waren alle relaties op de hoogte en had men het gevoel ‘under control’ te zijn.
Voor de volledigheid een korte opsomming van acties te ondernemen om deze kwetsbaarheid voor nu te mitigeren en onder controle te houden totdat de patch er is.

  • Volg de adviezen van de fabrikant Citrix rondom deze kwetsbaarheid. Zie hiertoe de link naar hun website.
  • Activeer IPS signatures van uw IPS fabrikant en monitor de IPS op het afgaan op deze signatures.
  • Check Point
  • Cisco
  • Verhoogde dijkbewaking op uw Citrix Netscaler. Denk hier aan afwijking op CPU & memory gebruik etc. Het hebben van een baseline zou hier handig zijn.
  • Verhoogde dijkbewaking op de applicaties/systemen die direct benaderbaar zijn vanuit de Citrix Netscaler. Zijn hier afwijkingen te zien?
  • Informeer uw medewerkers en maak ze alert. Vraag ze om ‘vreemde’ zaken te melden. Beter een keer te veel gemeld, dan helemaal niet.
  • Volg de ‘Security Advisories’ van Citrix, Citrix forums, het NCSC e.d.
  • Patch de Citrix Netscaler direct als de patch beschikbaar komt vanuit Citrix.

Wij willen nogmaals benadrukken dat ‘patch management’ een cruciaal onderdeel is van uw beveiligingsbeleid. Het volgen van advisories en uitvoeren binnen een korte termijn is meer dan ooit een belangrijke taak. De cyber aanvallen van de afgelopen weken op Nederlandse organisaties laten dit maar weer eens zien.

Wilt u meer weten over deze aanval, dan wel verder praten over mitigerende maatregelen, neemt u dan snel contact met ons op.

 

UPDATE: 20 januari – 8.04u

Nu blijkt dat de workaround van Citrix niet afdoende is om de zwakheden binnen het Citrix Netscaler platform te mitigeren, heeft het Nationale Cyber Security Center (NCSC) op 17 januari het advies uitgebracht om de Citrix ADC en Gateway uit te schakelen. Dit geldt met name voor de Citrix systemen die nog niet de mitigerende maatregelen voor 9 januari hebben doorgevoerd. Klik voor meer informatie.

Zodra de patches vanuit Citrix beschikbaar komen, adviseert het NCSC deze zo spoedig mogelijk te installeren. Zie deze link

 

UPDATE: 20 januari – 11.42u

Citrix heeft de eerste bug fixes uitgebracht voor de kwetsbaarheden in het Citrix Netscaler platform. Deze software patches zijn voor versie 11.1 en 12.0

Voor de andere versies volgt snel de patch snel.
Meer informatie kunt u teruglezen op de website van Citrix.

 

UPDATE: 21 januari – 11.30u

De eerste Citrix updates zijn gisteren uitgebracht. Hopelijk worden deze updates direct doorgevoerd op de Citrix Netscalers door de gebruiker. Blijft u vooral de berichtgeving vanuit Citrix en het NCSC volgen.

Vanuit de US-CERT is ALERT (AA20-020A) “Critical Vulnerability in Citrix Application Delivery Controller, Gateway, and SD-WAN WANOP” uitgebracht. Zie hiertoe de link naar deze Alert.

 

          De kwetsbaarheid

Inmiddels hebben beveiligingsonderzoekers kunnen achterhalen waar de kwetsbaarheid ligt en hoe deze te misbruiken is. Het beveiligingslek kan worden misbruikt door een http verzoek

met ‘/ vpns /’ of ‘/../’ in de URL. Dit kwetsbaarheidsprobleem is verder uit te buiten door een XML-bestand op de server te construeren door middel van misbruik van HTTP-request headers.

De server maakt gebruik van de NSC_USER HTTP-header om een XML-bestand aan te maken. Dit stelt een aanvaller in staat om zowel de bestandsnaam en de inhoud van het XML-bestand te controleren.

Zodra een aanvaller een XML-bestand op de kwetsbare server kan zetten, kan de Perl Template Toolkit gebruiken worden om met het XML-bestand opdrachten uit te voeren.

Er zijn inmiddels verschillende exploits online beschikbaar die van bovenstaande methode gebruik maken.

 

            Oplossing bij gebruik F5 ADC platform

F5 kan op meerdere manieren een oplossing bieden voor het geschetste probleem. Het meest voor de hand liggend is het vervangen van de Citrix ADC en Citrix Gateway servers

door een F5 ADC oplossing. Hier komt de kwetsbaarheid immers niet in voor. Verder kan het F5 platform voor de Citrix ADC en/of Citrix Gateway servers geplaatst worden om de Citrix

apparatuur te beschermen. Daarnaast kunnen bestaande F5 klanten die AWAF of ASM gebruiken de F5 WAF inzetten om zich te beschermen tegen de kwetsbaarheid in hun Citrix Citrix ADC en Citrix Gateway

servers. De hack poging wordt eenvoudig gedetecteerd door de F5 WAF door middel van reeds bestaande “signatures” om “Directory Traversal” en” Command Execution” te detecteren.

Richard van der Graaf
Richard van der Graaf