UPDATE: Advies installatie patches Citrix ADC en Citrix Gateway servers

Nieuwsbericht | 25-01-2020 | 08:12

Tijdlijn publicaties NCSC

For ENGLISH overview: click here
 

• 25 januari 2020, 08.12 uur: Update in verband met publicatie nieuwe patches Citrix versie 10.5  
• 24 januari 2020, 17.12 uur: Update n.a.v. uitbreiding herstelplan
• 24 januari 2020, 08.32 uur: Update in verband met publicatie nieuwe patches Citrix versie 12.1 en 13.0.
• 23 januari 2020, 17.20 uur: Update in verband met verwachte nieuwe patches Citrix op vrijdag 24 januari 2020.
• 20 januari 2020, 18.11 uur: Update wijzigingen in nieuwsbericht en 'Stroomschema risicoafweging Citrix kwetsbaarheid toegevoegd.
• 19 januari 2020, 22.00 uur: Publicatiedatum en -tijd eerste versie nieuwsbericht.

Beschikbaarheid patches

Patchen is alleen effectief als uw netwerk niet gecompromitteerd is. Op basis van uw risicoafweging kunt u bepalen in hoeverre dit aannemelijk is, dit stroomschema kan u daarbij ondersteunen. Het NCSC adviseert om na de installatie van de patches te blijven monitoren en detectie toe te passen op misbruik van de kwetsbaarheden.

• Indien u de door Citrix gepubliceerde mitigerende maatregelen heeft toegepast voor 9 januari 2020 (publicatie exploit) en u gebruikt versie 10.5, 11.1, 12.0, 12.1 of 13.0 van Citrix ADC en Citrix Gateway servers, adviseert het NCSC de patch voor de door u gebruikte versie zo snel mogelijk te installeren. De kans is beperkt dat de kwetsbaarheid is misbruikt.  Het is echter alsnog mogelijk dat actoren, die beschikken over geavanceerde middelen, misbruik hebben gemaakt van deze kwetsbaarheid. Neem dit mee in uw risico-analyse.
• Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits. Het NCSC adviseert om in ieder geval een herstelplan op te stellen zoals uitgelegd in de sectie 'Herstelplan na mogelijke compromittatie' in dit bericht.
• Partijen moeten zeker stellen dat patches afkomstig zijn van een vertrouwde bron.

Advies versie 12.1 build 50.28

Let op bij gebruik van versie 12.1 build 50.28 (releasedatum 28 november 2018). Hiervoor heeft Citrix aangegeven dat er een probleem is dat van invloed is op de mitigerende maatregelen. Als u deze versie in gebruik heeft, dient u te controleren of u de mitigerende maatregelen volledig en op de juiste manier heeft doorgevoerd, inclusief de maatregelen voor bescherming van de managementinterface. Indien dit niet het geval is, kunt u er redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd. Voor overige versies inclusief de 'refreshed 12.1 build 50.28/50.31' versie (release datum 23 januari 2019) geldt dit probleem niet.

Herstelplan na mogelijke compromittatie

Bepaal (op basis van risicomanagement) de diepgang van het benodigde forensisch onderzoek.  Het door uw organisatie vastgestelde risicoprofiel, bepaalt of het noodzakelijk is de gecompromitteerde systemen aan te bieden bij een (externe) partij voor forensisch onderzoek. Het NCSC adviseert om logbestanden te analyseren vanaf 17 december 2019, omdat op dat moment Citrix de kwetsbaarheid gepubliceerd heeft.

Geadviseerde stappen na mogelijke compromittatie:

• Veiligstellen potentieel gecompromitteerde omgeving:
  • Indien nog niet gebeurd: koppel de Citrix-systemen los van internet.
  • Verzamel de benodigde data voor het uit te voeren forensisch onderzoek. Denk hierbij aan:
    • Logging (inclusief netwerkverkeer)
    • Bestanden
    • Geheugendumps
• Bij dit onderzoek kan de tool die Citrix heeft laten ontwikkelen behulpzaam zijn.
• Het forensisch onderzoek heeft onder meer als doel:
  • Aanwijzingen verzamelen of er ongebruikelijke gebeurtenissen hebben plaatsgevonden.
  • Zo ja:
    • Welke dit zijn
    • Wanneer ze hebben plaatsgevonden
    • Hoe dit heeft plaatsgevonden
    • Wie (bijv. in de vorm van een user account of ip-adres) dit veroorzaakt heeft

Uitkomsten forensisch onderzoek mogelijk gecompromitteerde systemen

Indien er uit het forensisch onderzoek geen indicatie komt van compromittatie: Installeer de patches conform uw standaard updateprocedures.

Indien er uit het forensisch onderzoek wel indicatie komt van compromittatie:

• Vergeet hierbij niet de systemen die verbonden zijn geweest met de kwetsbare systemen gedurende het tijdsvenster van compromittatie. Aangezien organisatie-brede identificatie- en autorisatiesystemen met de kwetsbare systemen verbonden kunnen zijn, kan dit verstrekkende gevolgen hebben.
• Voor sommige Citrix systemen geldt dat er private tls-sleutels opgeslagen staan die dan ook als gecompromitteerd beschouwd moeten worden. Het uitgeven van nieuwe tls-certificaten is dan noodzakelijk evenals het laten intrekken van de gecompromitteerde certificaten.
• Houdt er hierbij rekening mee dat wachtwoorden, opgeslagen op de Citrix systemen ook gecompromitteerd zijn en dus vernieuwd moeten worden.
• Een risicoanalyse uit te voeren om specifieke risico's voor uw organisatie te adresseren en eventueel aanvullende beschermende maatregelen te nemen.
• Doe dit zoveel als mogelijk op basis van nieuwe hardwarecomponenten en een volledige nieuwe installatie van de software. Bij het alleen updaten van gecompromitteerde systemen blijft het risico bestaan dat indringers niet volledig zijn verwijderd.

Wat kunt u doen als u gebruik wilt blijven maken van Citrix?

In NCSC-beveiligingsadvies 2019-0979 kunt u meer informatie vinden over testtooling, verwachte patches, monitoring- en detectiemogelijkheden, mitigeren en het controleren van logbestanden.

Stroomschema 'risicoafweging Citrix kwetsbaarheid'

Hieronder vindt u een stroomschema dat u kunt gebruiken bij het maken van een risicoafweging over de Citrix kwetsbaarheid (zie PDF).