Afgelopen december werden we opgeschrikt door de berichten dat Citrix ADC (voorheen Citrix NetScaler) lek zou zijn. Citrix ADC maakt het bijvoorbeeld mogelijk om extern (vanaf huis of een andere locatie) in te loggen op het netwerk van het bedrijf waarvoor je werkt. In dit artikel vertel ik wat het Citrix-lek CVE-2019-19781 inhoudt, geef ik informatie over de patch en vertel ik hoe je in een organisatie om kunt gaan met lekken zoals dit Citrix-lek.
Om je een voorbeeld te geven waar Citrix zoal gebruikt wordt: veel gemeenten, ziekenhuizen en multinationals maken gebruik van deze toepassing met Citrix ADC. Overigens gaat het niet enkel om Citrix ADC maar ook om: Citrix Gateway, Citrix Netscaler, Citrix Netscaler ADC en Citrix SD-WAN WANOP.
Het is via deze kwetsbaarheid mogelijk code uit te voeren op afstand (remote code execution) op de Citrix ADC en vervolgens toegang te krijgen tot het bedrijfsnetwerk. In het kort: een kwaadwillende kan dus toegang krijgen tot het systeem dat Citrix ADC zou moeten beschermen. De kwaadwillende krijgt dan zogenaamde “admin” rechten en kan dus alles doen op het netwerk. Denk aan bijvoorbeeld het verkrijgen van toegang tot gevoelige informatie en persoonsgegevens.
Omdat er niet direct patches voor handen waren, is er door Citrix besloten mitigatie plannen uit te geven. Kort samengevat gaat het om het volgende:
Whitelisting IP’s
Enkel toestaan van bepaalde IP-adressen. Effectief maar kost veel beheer resources. Zeker bij grote organisaties waar veel medewerkers vanaf buiten connectie maken met het bedrijfsnetwerk is het bijna onmogelijk alle IP-adressen te whitelisten die connectie mogen maken.
Webapplication Firewall (WAF)
Het is mogelijk, als dit al niet gedaan is, de gehele Citrix omgeving achter een WAF te plaatsen. Het is dan mogelijk filters toe te passen om het verkeer te regelen en zodoende kwaadwillende het moeilijker maken om een aanval uit te voeren.
Voor versie 12.1 build 50.28 bleken de te nemen maatregelen zoals hierboven afgebeeld niet altijd te werken. De kans is dus groot dat een systeem dat op deze versie draait gecompromitteerd is. Dit betekent dat een kwaadwillende in het systeem is geweest.
Het National CyberSecurity Centrum, NCSC schreef hier al over en raadde daarom aan dit systeem hoe dan ook offline te halen.
Een patch is een oplossing voor het probleem dat ontstaan is. Het dicht het lek en zorgt ervoor dat het systeem weer veilig(er) wordt. Hierbij wel de opmerking dat een patch enkel effectief is als het netwerk niet gecompromitteerd is geweest. Anders is het nog steeds mogelijk dat een kwaadwillende zichzelf, ook na de patch, toegang kan verschaffen tot het netwerk.
Er zijn inmiddels patches uitgegeven door Citrix. Een lijst vind je hieronder:
NetScaler versie 11.1 build 63.15
Wij adviseren om onderstaande stappen te doorlopen. Hiermee zorg je ervoor dat de impact van het lek zo minimaal mogelijk wordt.
Het is goed eerst te controleren of het systeem kwetsbaar is. Het is tevens de verificatie tool waarmee kan worden vastgesteld of de patches hun werk hebben gedaan. De tool kan hier worden gedownload. CISA gaf ook een tool uit.
Het moet duidelijk zijn dat deze kwetsbaarheid groot is en grote gevolgen heeft. De leer die hieruit getrokken moet worden is dat er een plan klaar ligt. Natuurlijk is het zo dat je niet iedere kwetsbaarheid kunt beschrijven maar je moet als organisatie wel weten wat je moet doen als systemen als Citrix geplaagd worden kwetsbaarheden als deze.
Daarom is het goed een plan te hebben:
Zorg dat je goed voorbereid bent. Wie moeten er bijvoorbeeld gewaarschuwd worden als er een dergelijk probleem zich voordoet?
Hoe gaat de organisatie om met een kwetsbaarheid op deze schaal?
Als de organisatie afhankelijk is van dit systeem (kritiek systeem) kan dit systeem dan offline? Is dit geaccepteerd verlies?
Hoe kan de schade zo veel mogelijk beperkt worden? Denk aan back-ups, redundantie in systemen en het uitzetten van systemen. Het segmenteren van netwerken hoort hier ook bij.
Hierboven werd al genoemd dat de genoemde mitigatie op versie 12.1 build 50.28 geen zin heeft. Er kan dus een kwaadwillende in het systeem zijn geweest. Is het mogelijk forensisch onderzoek te doen om dit uit te sluiten of juist bewijs te verzamelen?
Uiteindelijk moet het systeem weer gaan draaien. Hoe zit het dus met uitroeien van het problemen en de mogelijkheid op recovery?
Jochen den Ouden is de docent van de cursus Mindset van een hacker die op 9 maart 2020 plaatsvindt in Utrecht.
Elke dag horen we in het nieuws over cyberaanvallen, hackers en datalekken. Maar hoe werkt een hacker nu eigenlijk? Hoe kunt u uzelf en uw organisatie wapenen tegen deze vorm van criminaliteit? Dat doet u door te denken en te werken als een hacker.
De cursist krijg naast een hogere bewustwording omtrent cybersecurity inzicht in welke zes stappen een hacker neemt om data te verkrijgen.
Meer informatie over de cursus Mindset van een hacker
Dit artikel is ook te vinden in de dossiers Informatiebeveiliging en Datalek
