Het eerder door NCSC gegeven advies van 17 januari 2020 over kwetsbaarheden in Citrix ADC en Citrix Gateway servers is nog altijd van kracht. De eerste Citrix Patches voor twee versies zijn inmiddels beschikbaar. Het NCSC adviseert om deze patches te installeren. Hieronder adviseert het NCSC onder welke voorwaarden uw organisatie dit kan doen en in hoeverre dit afdoende is. Het NCSC benadrukt dat het nemen van mitigerende maatregelen in alle gevallen gebaseerd dienen te zijn op een risicoafweging van de organisatie zelf.
Patchen is alleen effectief als uw netwerk niet gecompromitteerd is. Op basis van de risicoafweging binnen uw organisatie kunt u bepalen in hoeverre dit aannemelijk is. In alle gevallen adviseert het NCSC om ook na het nemen van mitigerende maatregelen, waaronder patches, te blijven monitoren en detectie toe te passen op de kwetsbaarheden. Partijen moeten zeker stellen dat patches afkomstig zijn van een vertrouwde bron.
Indien u de door Citrix gepubliceerde mitigerende maatregelen heeft toegepast voor 9 januari 2020 (publicatie exploit), adviseert het NCSC de patch voor de door u gebruikte versie zo snel mogelijk te installeren.
Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits. Het NCSC adviseert om in ieder geval een herstelplan op te stellen zoals uitgelegd in de sectie “Mogelijke compromittatie” in dit bericht. Daarnaast kunt u nog aanvullende acties ondernemen, zoals beschreven in ons bericht van 17 januari 2020 en in de sectie “Wat kunt u doen als u gebruikt wilt blijven maken van Citrix?”
Let op bij gebruik van versie 12.1 build 50.28 (releasedatum 28 november 2018). Hiervoor heeft Citrix aangegeven dat er een probleem is dat van invloed is op de mitigerende maatregelen. Als u deze versie in gebruik heeft, dient u te controleren of u de mitigerende maatregelen volledig en op de juiste manier heeft doorgevoerd, inclusief de maatregelen voor bescherming van de managementinterface. Indien dit niet het geval is, kunt u er redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd. Voor overige versies inclusief de “refreshed 12.1 build 50.28/50.31” versie (release datum 23 januari 2019) geldt dit probleem niet.
Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd. In dat geval adviseren wij u om een herstelplan op te stellen, met daarin onder andere de volgende acties:
De gecompromitteerde systemen afkoppelen van het internet.
De gecompromitteerde systemen aanbieden bij een partij voor forensisch onderzoek.
De Citrix-systemen herinstalleren en deze te voorzien van de mitigerende maatregelen en de patches zodra die beschikbaar zijn.
Het implementeren van monitoringsmaatregelen om misbruik van de kwetsbaarheid te detecteren, zodat verdere compromittatie kan worden opgespoord. Vergeet hierbij niet de systemen die verbonden zijn geweest met de kwetsbare systemen gedurende het tijdsvenster van compromittatie.
In NCSC-beveiligingsadvies 2019-0979 kunt u meer informatie vinden over testtooling, verwachte patches, monitoring- en detectiemogelijkheden, mitigeren en het controleren van logbestanden.
Zie ook: Aanvallers zoeken actief naar kwetsbare Citrix-servers
Zie ook: Vele Nederlandse Citrix-servers kwetsbaar voor aanvallen
Dit nieuwsbericht is ook te vinden in het dossier Informatiebeveiliging
