UPDATE: Schakel Citrix-systemen uit waar dat kan of tref aanvullende maatregelen

Het NCSC raadt u aan Citrix ADC en Citrix Gateway servers uit te schakelen.Tot het moment dat een patch beschikbaar is, adviseert het NCSC om inzichtelijk te maken wat de impact is van het uitzetten van de Citrix ADC en Gateway servers.

Het NCSC raadt u in ieder geval aan Citrix ADC en Citrix Gateway servers uit te schakelen, als uw organisatie niet voor donderdag 9 januari 2020 door Citrix geadviseerde mitigerende maatregelen heeft getroffen. Kan uw organisatie haar primaire proces/taak niet meer uitvoeren wanneer u Citrix ADC en Citrix Gateway servers uitschakelt? Weeg dan het belang van continuïteit van primaire processen af tegen eventuele schade. Indien uw organisatie besluit Citrix ADC en Citrix Gateway servers niet uit te schakelen, adviseert het NCSC met klem dan wel aanvullende maatregelen te treffen (zie hieronder) en intensief te monitoren. Dit ter aanvulling op de maatregelen die Citrix op haar website adviseert

Aanvullende mitigerende maatregelen

Mocht het upgraden van uw Citrix-server niet mogelijk zijn en wilt u uw omgeving via internet bereikbaar houden, dan raadt het NCSC aan onderstaande aanvullende maatregelen toe te passen:

IP-whitelisting

Het alleen toestaan van verbindingen van bekende ip-adressen is zeer effectief tegen aanvallers van buitenaf. Dit vereist echter een intensieve beheerinspanning die toeneemt met de omvang van uw organisatie.

Webapplicatiefirewall instellen

Door de Citrix-server achter een webapplicatiefirewall te plaatsen is het mogelijk om filterregels toe te passen die het lastiger kunnen maken voor een kwaadwillende om een aanval uit te voeren.

Clientcertificaten toepassen

Door authenticatie met clientcertificaten te verplichten kan een ongeauthentiseerde kwaadwillende de aanval niet uitvoeren. Het aanmaken en verspreiden van deze certificaten is echter wel een omvangrijke onderneming.

Poort aanpassen

Door het aanpassen van de poort waarop de dienst beschikbaar is, wordt de kans kleiner dat een aanvaller na brede internetscans uw server vindt. Dit betekent dat deze nieuwe poort door alle eindgebruikers ingesteld moet worden. Dit vereist communicatie en kan een zwaardere last op de helpdesk opleveren. Let op dat het aanpassen van de poort alleen bescherming biedt tegen ontdekking via brede scans, en geen bescherming tegen de aanval als de server toch gevonden wordt. Bovendien zijn er inmiddels waarschijnlijk al diverse scans uitgevoerd en is de kans aanwezig dat uw server al is geïdentificeerd door kwaadwillenden.

Update 17-01-2020 | 23:11

Update 16-01-2020 | 21:42