'Citrix-kwetsbaarheid vormt risico voor netwerken van 80.000 bedrijven'

Beveiligingsbedrijf Positive Technologies meldt dat het een Citrix-kwetsbaarheid heeft ontdekt. Het draait om een kwetsbaarheid in de voorheen geheten Netscaler ADC en Netscaler Gateway. Dit zou in potentie een risico betekenen voor de netwerken van 80.000 bedrijven in 158 landen.

Mikhail Klyuchnikov van Positive Technologies ontdekte de kwetsbaarheid, waarvoor een cve is aangevraagd en het nummer CVE-2019-19781 is toegekend. Het draait om de Citrix Application Delivery Controller en de Citrix Gateway, die voorheen bekend stonden als respectievelijk NetScaler ADC en NetScaler Gateway. De kwetsbaarheid heeft nog geen officiële cvss-score gekregen, maar Positive Technologies stelt dat het om het hoogste niveau gaat: 10.

Als de 'kritieke kwetsbaarheid wordt uitgebuit, kunnen aanvallers zich via het internet direct toegang verschaffen tot het lokale netwerk van een bedrijf en daarvoor zijn geen accounts of authenticatie nodig, aldus Positive Technologies. Het uitbuiten van de kwetsbaarheid maakt het voor een aanvaller mogelijk om willekeurige code uit te laten voeren.

Positive Technologies zegt dat Citrix-applicaties wijdverspreid zijn in bedrijfsnetwerken. Ze worden onder meer ingezet om medewerkers via het internet toegang te geven tot de interne bedrijfsapplicaties. De kwetsbaarheid maakt het voor een onbevoegde niet alleen mogelijk om toegang te krijgen tot gepubliceerde applicaties, maar ook andere bronnen van het interne bedrijfsnetwerk zijn kwetsbaar via de Citrix-server.

Volgens het bedrijf kan dit in potentie 80.000 bedrijven in 158 landen raken. De top vijf van landen met dergelijke organisaties wordt aangevoerd door de Verenigde Staten, maar ook het Verenigd Koninkrijk, Duitsland, Nederland en Australië staan in dat rijtje.

Citrix heeft een aantal oplossingen uitgebracht om de kwetsbaarheid het hoofd te bieden. Bedrijven dienen alle kwetsbare softwareversies zo snel mogelijk te updaten. De kwetsbaarheid bestaat geruime tijd: de eerste softwareversie met de kwetsbaarheid werd al in 2014 uitgebracht.

De term cve is een afkorting voor 'common vulnerabilities and exposures'. Dit is een database waarin kwetsbaarheden in systemen en netwerken worden bijgehouden en een bepaald nummer toegewezen krijgen.

Door Joris Jansen

Redacteur

23-12-2019 • 20:34

86

Submitter: TheVivaldi

Reacties (86)

86
77
37
1
0
22
Wijzig sortering
De betreffende kwetsbaarheid is al langer bekend én misbruikt. Ik vraag me af of deze daadwerkelijk door Positive Technologies (opnieuw) ontdekt is of gewoon gekocht en gemeld.
Bor Coördinator Frontpage Admins / FP Powermod @boolean23 december 2019 21:06
Heb je objectieve informatie waaruit blijkt dat dit lek misbruikt wordt? Volgens de laatste info die het NCSC uitgeeft is er nog geen exploit bekend;

https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0979
NCSC is een hulpmiddel. Dat is niet meer dan een verzameling van veiligheidsrisico's en mitigerende maatregelen die algemeen bekend zijn. Ik heb jaren lang een sport gemaakt van het vinden van lekken en het schrijven van exploits. Omwille van mijn werk heb ik deze "hobby" enige tijd geleden gestaakt, maar ik kan het niet laten zo nu en dan mijn neus te laten zien op de betreffende communities. Het merendeel van de gevonden beveiligingsrisico's die je de media ziet passeren worden al jaren lang misbruikt en verkocht.

Binnen de organisatie waar ik werkzaam ben, heb ik het ADC issue ruim een jaar geleden al aangekaart en zijn hier (voor zover mogelijk zonder patch) maatregelen voor getroffen. Waarom ik dit niet publiek heb gemeld? Misschien wijst mijn moreel kompas niet helemaal de juiste kant op, maar ik ga andermans werk niet ten grabbel gooien, ook al kan het potentieel kwaadwillig worden ingezet.

PS. Er zit overigens waarschijnlijk nóg een lek in Citrix. Dit is al kenbaar gemaakt maar hier heb ik de details niet van dus kan het ook niet toetsen.

[Reactie gewijzigd door boolean op 22 juli 2024 19:41]

Kun je een hint geven over dit lek?
Je gaat een anders werk niet te grabbel gooien maar als het je zo uit komt doe je er niet moeilijk over om publiek de suggestie te wekken dat een ander het niet ontdekt zou hebben zonder daarbij enig bewijs te leveren. Dat klinkt niet heel geloofwaardig.

Ik wil best geloven dat anderen deze kwetsbaarheid in de afgelopen 5 jaar ook al ontdekt kunnen hebben en dat kwetsbaarheden ook verkocht worden. Maar ook dat er meer kwetsbaarheden in de software kunnen zitten. Het is dan wel opvallend dat je een bedrijf openlijk gaat betwijfelen en geen twijfel toont over de betrouwbaarheid van de handelaren op de fora. Het wekt op zijn minst de indruk dat je misschien niet eens goed kan aangeven of het hier om een zelfde lek gaat en een bepaalde voorkeur hebt om bepaalde criminele groepjes wel te waarderen en bedrijven of personen die dat handelen verstoren wat minder.
Daar heb je dus responsible disclosure voor. Meld het de fabrikant zodat er een patch gemaakt kan worden en maak het pas daarna publiekelijk bekend.
Hij geeft al aan dat zijn moreel kompas de verkeerde kant op wijst, dus hij zou liever danwel zelf de ontdekking uit willen buiten door in te breken en kennis/chantage in te zetten, danwel liever het gevonden lek in bitcoins te gelde maken door op het darkweb de exploit door te verkopen aan de hoogste bieder.

Daar zit niets tussen van: ik meld het aan het kwetsbare bedrijf, want ik wil iets goeds doen voor 80.000 bedrijven en overheden.

Edit: ik heb het iets te sterk aangezet hier, dat is hopelijk onterecht geweest.

[Reactie gewijzigd door Arokh op 22 juli 2024 19:41]

ik ben het niet helemaal eens met dat je naar -1 gemod wordt, ik heb het inderdaad wel wat te zwaar aangezet.

Als iemand aangeeft dat het moreel kompas niet helemaal de goede kant opwijst, dan wil dat niet zeggen dat ze direct echt crimineel willen worden. Hooguit dat je er eventueel voor open staat als de beloning hoog genoeg is, en de maatschappelijke lasten voor jouw gevoel dragelijk zijn ofzo.

Je hebt gelijk dat ik het niet zo sterk mag aanzetten, daar bied ik mijn excuses voor aan.
Dat vind ik heel tof van je. Hulde!
Die -1 til ik niet aan, zal wel van de krachttermen komen.
Maar nogmaals, hij zei: "Misschien wijst mijn moreel kompas niet helemaal de juiste kant op...", dat is nog een gradatie zwakker dan jouw stelliger: "Als iemand aangeeft dat het moreel kompas niet helemaal de goede kant opwijst..."
Het is dus 'misschien dat', i.p.v. 'dat'. Voor mij ongeveer hetzelfde verschil als tussen ontwijken en ontduiken van belasting.
Maar nogmaals, ik waardeer je correctie ten zeerste.
PS. Er zit overigens waarschijnlijk nóg een lek in Citrix. Dit is al kenbaar gemaakt maar hier heb ik de details niet van dus kan het ook niet toetsen.
Er zitten waarschijnlijk nog wel meer lekken in allerlei software. Dit is al kenbaar gemaakt maar hier heb ik de details niet van dus kan het ook niet toetsen. *faceroll*
Bor Coördinator Frontpage Admins / FP Powermod @boolean23 december 2019 21:45
Helaas geef je geen enkel antwoord op mijn vraag: waaruit blijkt objectief dat dit lek misbruikt wordt momenteel? Je lijkt met een algemeen statement te komen dat 'het merendeel van de gevonden beveiligingsrisico's die je de media ziet passeren al jaren lang misbruikt en verkocht worden' wat lang niet altijd opgaat maar wat bovendien ook niets over dit specifieke lek lijkt te zeggen.
Correct en soms heb je ze nodig om het e.a. te mitigeren ;)
Dit word toch veel voor thuiswerken gebruikt?
Dat, maar ook binnen het bedrijfsnetwerk.

Bij ons wordt het zowel voor thuiswerken als voor intern gebruikt. We hebben allemaal kleine PC's staan met een 'kale' Windows10 installatie waarmee wij via Citrix inloggen op het netwerk en daar krijgen wij ons bureaublad voorgeschoteld. Met onze laptops idem dito, kale Win10 en via Citrix kom je op jouw bureaublad.

Persoonlijk vind ik dit ideaal omdat je overal kunt inloggen zolang je maar over een Citrix-cliënt en een internetverbinding beschikt.

Het nadeel is wel dat bij ons 20.000 werknemers dagelijks via Citrix werken en ik hoop dat deze kwetsbaarheid een niet al te grote impact heeft.
Dat is best veel, 20.000 werknemers. Als die allemaal moeten updaten, dan ben je als bedrijf per werknemer aardig wat tijd en dus ook geld kwijt.
Dat hoeft niet, het is te fixen met een paar commando's op de netscaler zelf.
updates gaan vanuit de server inderdaad
zodra je aanmeld met de client, is dat al gebeurt

Er draait nagenoeg geen (extra) software op de lokale pc in kwestie, het is een 'remote desktop' oplossing
Juist niet. Dat is het fijne van het systeem, je hebt lokaal vrijwel niets draaien en kunt daardoor ook toe zonder lokale opslag bijvoorbeeld. Onze thin clients werken ook op die manier.

Thuiswerken gaat inderdaad ook ideaal ermee. Ik hoop dat ze het bij mij ook niet tijdelijk uitzetten ofzo, dan kan ik helemaal mijn werk niet meer doen. Helemaal afhankelijk geworden.
Het gaat om de Netscaler producten niet die clients. Dat zijn al dan niet gevirtualiseerde appliances waar een grote groep clients gebruik van maken.
Dat klopt, hoewel ook veel, afhankelijk van type werkzaamheden een VPN gebruiken omdat VDI's vaakt te traag zijn.

Edit:
Het wordt ook gebruikt voor flex werkplekken. Op elke werkplek dus een hele trage machine neerzetten die voldoende is voor Citrix.

[Reactie gewijzigd door Sp3ci3s8472 op 22 juli 2024 19:41]

Ik het het gezien in callcentra waar het callcenter (extern bedrijf) toegang verkrijgt tot infra van client/opdrachtgever, maar ook in scholen, van middelbare tot hogeschool, waarmee je zo, op de campus of vanuit huis, applicaties zoals Office, Adobe, Visio, spss en nog veel meer, afhankelijk van de opleiding, gewoon in een venster kon draaien, of streamen eigeijk.

[Reactie gewijzigd door Mushroomician op 22 juli 2024 19:41]

@Mad-Djek De Citrix NetScaler of Citrix ADC (Zoals hij tegenwoordig heet) word voor veeeeeeel meer dan alleen "thuiswerken" gebruikt. Eigenlijk al je internet verkeer gaat wel ergens door een NetScaler heen.
"Het uitbuiten van de kwetsbaarheid maakt het voor een aanvaller mogelijk om willekeurige code uit te laten voeren."

Voor de niet-ingewijden: dat betekent niet alleen dat hackers een programmaatje kunnen laten uitvoeren. Dat betekent dat ze vrij spel hebben om alle kwetsbare netwerk-devices te laten doen wat zij willen: volledige toegang tot alle netwerkverkeer, softwrae lokaal installeren, of juist een backdoor installeren en pas later toeslaan. Mogelijkerwijs vanaf daar verder het netwerk in duiken. Vandaar de ernstige score.

[Reactie gewijzigd door RedPixel op 22 juli 2024 19:41]

Een ernstig lek maar je alarmerende boodschap is onjuist. je bescherming tegen virussen en ransomware HOEFT hier niets mee te maken te hebben. Zelfs als je toegang hebt tot files betekend nog niet dat je er alles mee kan doen.

Voor niet-ingewijden, ernstig lek maar als er mee te maken hebt hoef je niet al je files weg te gooien. Je moet wel professionele hulp hebben.
Een Arbitrary Code Execution (ACE) geeft je wel degelijk de mogelijkheid tot het doen van alles met willekeurige bestanden (weliswaar met dezelfde rechten als de gebruiker die het proces draait dat je aanvalt). Daar vallen virussen en ransomware ook onder.

Wat ik wel verkeerd had begrepen is dat dit netwerk-appliances zijn, niet client-software. Daarop wat aangepast.
toegang tot het netwerk betekend nog iets helemaal anders dan onbeperkte toegang tot al je fysieke en virtuele machines, no matter welk OS ze draaien.
Oh, ik dacht dat het om software ging, maar het gaat om specifieke hardware die bepaalde software draait. Heb mijn reactie wat aangepast.

[Reactie gewijzigd door RedPixel op 22 juli 2024 19:41]

Ligt eraan wat voor netwerk, hoe zichtbaar je bent, en wat voor permissies je op dat netwerk hebt. Sowieso ga je van een paar nieuwe methoden om dat netwerk binnen te dringen naar een compleet arsenaal van bestaande methoden om je permissies te verbreden.
Is dat niet precies wat de NSA en andere 3-lettergrepige instanties zo graag willen?
Niet alleen bedrijven: ook overheden. Stuk ernstiger als je het mij vraagt.
Ik ken best wel veel gemeenten die citrix gebruiken inderdaad. Dit lek is erg serieus.

Bedrijven en overheden die dit niet patchen of de ernst er niet van inzien mogen van mij een flinke bezem door het management krijgen.
Jup, onze gemeente ook. Ik hoop dat het snel gepatched wordt door de afdeling, we zijn er extreem afhankelijk van.

Ik had nog heel lang 1 laptop waarmee ik zonder citrix op mijn werk kon werken, veel lokaal, maar met de beveiligde interne verbinding ook toegang had tot alle data. Die mogelijkheid is nu weg, alles gaat via Citrix.
De vraag is of die ook allemaal die twee apparaten hebben.

Als een bedrijf zo'n gateway device niet heeft, dan denk ik dat het wel mee valt, dan ben je iig niet rechtstreeks vanaf het internet aan te vallen.

Desondanks niettemin blijft het antwoord ten alle tijden: Updaten!
En dat is iets waar bedrijven anno 2019 nog steeds niet goed mee kunnen omgaan.
Er hangt te veel als los zand aan elkaar waardoor updates zeer verstorend kunnen werken..
Wat een slechte timing om dit bekend te maken en een CVE aan te vragen.

iedereen die een beetje nadenkt weet dat bijna alle bedrijven momenteel understaffed zijn al dan niet helemaal plat liggen. Als je dan de media aandacht zoekt en een CVE meld doe dat dan in januari weer en geef Citrix en alle klanten eerst de tijd om het te fixen.
Ik heb de mitigatie zojuist toch maar direct doorgevoerd voor alle zekerheid. Het zijn maar een paar regeltjes die zo te zien verder weinig kwaad kunnen doen. Was binnen 5 minuten gefixed :)
'voor alle zekerheid'?
Dat dient S.O.P. te zijn. :Y)
Het “voor alle zekerheid” lijkt hier vooral te gaan om de tijdspanne: direct.
Ok, dus niet uitgesteld tot ..?
Laat me dan even verduidelijken dat dat ook S.O.P. hoort te zijn. :Y)

Prettige Kerst! O-)

Edit: ik zou 't als verantwoordelijke in m'n broek doen als ik zo'n kwetsbaarheid vernam en niet onmiddelijk in de auto, telefoon of terminal klom om 't op te lossen.

[Reactie gewijzigd door ajolla op 22 juli 2024 19:41]

Voor de mensen die denken W.T.F. is S.O.P?: Standard operating procedure.

Ik weet niet of ik hier zo benauwd van zou worden. Is relatief niet zo'n issue om dit over de kerst heen te trekken hoor. Ik zou liever kijken om maar helemaal van Citrix en Netscaler apps af te komen. Die zorgen onder windows nog wel eens voor instabiliteit (Netscaler VPN app is echt rampzalig).
Bor Coördinator Frontpage Admins / FP Powermod @supersnathan9424 december 2019 14:54
Dit betreft een lek met een cvss score van (naar alle waarschijnlijkheid) 10 (maximum) juist omdat het lek erg makkelijk en betrouwbaar uit te buiten is waarbij verregaande rechten en toegang kan worden verkregen. De leverancier roept bovendien op om de mitigerende maatregelen in afwachting van een patch zo spoedig mogelijk te installeren. "Over de kerst tillen" is echt een slecht advies.
Weet je hoe CVSS berekent worden?

In principe is iedere eenvoudige exploit dit over het netwerk uit te voeren is, zonder user interaction en waarbij je geen rechten nodig hebt en waar nog geen oplossing voor is al een 10.

Heb je wel user interaction nodig dan is het een 9.6. Een malafide PDF bestand valt daar dus ook onder.

Dus slecht advies.. meh. Misschien wel. Ik zeg ook niet dat je het moet doen hoor, maar geef alleen aan dat dit nou niet direct helemaal bovenaan mijn prio lijstje zou komen. Het punt is dat als er iets misgaat je dit dan direct op mag gaan lossen. Terwijl er best wel mensen zijn die nu met de kerst nog even aan het werk gaan.
Citrix heeft een aantal oplossingen uitgebracht om de kwetsbaarheid het hoofd te bieden. Bedrijven dienen alle kwetsbare softwareversies zo snel mogelijk te updaten.
Kortom: de fixes zijn er al.
Het feit dat er een aantal beheerders misschien een of 2 avonden kwijt zijn die ze anders vrij zouden zijn geweest: jammer. Je wil niet dat deze kwetsbaarheid ongepatched blijft omdat het voor wat beheerders slecht uitkomt. Zeker niet in een periode waarin nogal wat script-kiddies extra vrije tijd hebben en al de nodige extra ellende veroorzaken.
Voor zover ik lees is er nog geen oplossing voor het probleem maar enkel een workaround. Deze dien je voorlopig uit te voeren en je kan je inschrijven om verwittigd te worden wanneer de patch voor je versie effectief beschikbaar is zodat je deze dan zo snel mogelijk kan installeren.

Originele tekst:
Subscribe to bulletin alerts at https://support.citrix.com/user/alerts to be notified when the new firmware is available.
The following knowledge base article contains the steps to deploy a responder policy to mitigate the issue in the interim until a permanent fix is available.

[Reactie gewijzigd door Tom-W op 22 juli 2024 19:41]

Als onderbezetting een excuus is terwijl je hele bedrijf en klanten een enorm risico lopen dan denk ik niet dat het aan de melder ligt dat het niet goed uit komt.

Daarbij hebben bedrijven die hun beveiliging een beetje serieus nemen 24/7 mensen om gepaste maatregelen te treffen, zoals bijvoorbeeld het tijdelijk afsluiten of beperken wie er bij de kwetsbare services mag. Als ze die beperkingen al niet hadden vanwege de enorme risico's die je loopt om iedereen maar bij je toegangspoort toe te laten waar een remote code execution waar je geen controle over hebt al toegang kan geven tot je bedrijf.
Wat een slechte timing om dit bekend te maken en een CVE aan te vragen.

iedereen die een beetje nadenkt weet dat bijna alle bedrijven momenteel understaffed zijn al dan niet helemaal plat liggen. Als je dan de media aandacht zoekt en een CVE meld doe dat dan in januari weer en geef Citrix en alle klanten eerst de tijd om het te fixen.
Maakt niet zo veel uit, wanneer je een normale Netscaler het staan is het patchen ervan een fluitje van een cent. Behalve wanneer je eerst een version upgrade moet doen. Maar voor de rest stelt het niet veel voor. En wanneer je er 2 hebt, is het helemaal makkelijk, failover en je draait gewoon door.

Ik ben meer geïnteresseerd in de achtergrond van dit issue, want ik vraag mij af hoe ze het gedaan hebben. Wanneer je een Virtuele Netscaler applicane hebt draaien op ESX en Intel dan maak ik me wel zorgen, maar een fysieke Netscaler of een Virtuele op een AMD ESX platform wat minder.
Citrix aan het internet knopen was wel een goed idee? Zet dit soort dingen gewoon achter een VPN om je attack surface te verkleinen. Als ik de berichten lees werd het al actief misbruikt, dus nog maar even door laten lopen is een beter idee?
Bor Coördinator Frontpage Admins / FP Powermod @latka24 december 2019 14:57
Dit betreft een lek in Citrix Application Delivery Controller en de Citrix Gateway, die voorheen bekend stonden als respectievelijk NetScaler ADC en NetScaler Gateway. Dit zijn juist devices die aan het internet verbonden worden voor o.a. secure toegang en VPN diensten.
Dus omdat er in de folder staat dat het er voor gemaakt is knoop je het er aan vast? Ik ben nog van de school dat je security in lagen opbouwt. Een keukenblok aan het internet hangen (sorry voor het anglicisme) valt daar zeker niet onder. Dus multi-layer: VPN (zo eenvoudig mogelijk) met 2-auth en daarachter mag je misschien bij data/applicaties.
Bor Coördinator Frontpage Admins / FP Powermod @latka24 december 2019 15:28
Misschien moet je je even verdiepen in wat een Netscaler precies doet, dat is namelijk (o.a.) hetgeen wat jij hier aangeeft. Citrix is een bedrijfsnaam die veel meer levert dan alleen Server Based Computing oplossingen waar de meeste mensen de naam van kennen.
Alle lagen van 1 fabrikant is hetzelfde als geen lagen.
Ik denk dat 2 weken wachten er dan ook nog wel bij kan ,

nu maak je heel veel slapende honden wakker terwijl je op je vingers na kunt tellen dat een gros van de bedrijven pas over 2-3 weken gaat fixen. Tijdens de jaarwisseling is er ook nog vaak een change freeze aan de gang.
Bor Coördinator Frontpage Admins / FP Powermod @Skywalker2724 december 2019 14:55
Er is momenteel nog geen patch beschikbaar die bescherming tegen dit lek biedt. Ik weet niet wat je vorige week gepatched hebt maar ik zou nog eens goed naar de details van dit nieuwe lek kijken.

[Reactie gewijzigd door Bor op 22 juli 2024 19:41]

Het was een ander lek :'( ik had niet goed gelezen
Dit is het zoveelste major incident. Vorige week een exploit op de markt gekomen voor Cisco ASA kunnen rebooten door lek in Webvpn (CSCvi16029) en nu dit weer. Zijn er ergens statistieken hoeveel CVE 10 scores er per jaar bekend worden?
Ja die statistieken zijn er
372 in 2009, 645 in 2016, 489 in 2017, 693 in 2018 en 411 tot nu toe in 2019

[Reactie gewijzigd door batjes op 22 juli 2024 19:41]

Cisco ASA vulnerability was al langer bekend (First Published: 2018 June 6 16:00 GMT) waardoor er eigenlijk geen excuus was om gesupporteerde systemen nu nog niet gepatched te hebben.

[Reactie gewijzigd door Bylie op 22 juli 2024 19:41]

Tot er een update beschikbaar is kan het met een paar commando's beveiligd worden.
https://support.citrix.com/article/CTX267027
Tot er een update beschikbaar is kan het met een paar commando's beveiligd worden.
https://support.citrix.com/article/CTX267027
Top, kan het gelijk even in een instructie gieten zodat ik rust heb in mijn vrije dagen......
Het lijkt erop dat het om een "directory traversal" bug gaat, als ik zo naar de instructies kijk om het probleem te omzeilen.
De mitigatie houdt in het toevoegen van een responder rule. Deze is direct actief. Het rebooten is om open sessies te beëindigen.

Bij de instelling waar ik werk is deze na het testen door de leverancier conform proces doorgevoerd.
kunnen aanvallers zich toegang verschaffen tot het lokale netwerk en daarvoor zijn geen accounts of authenticatie nodig. Het maakt het voor een aanvaller mogelijk om willekeurige code uit te laten voeren.
Zelfs als je tot op layer 7 (de application layer) kan doordringen, dan nog kan je niet rechtstreeks aan gegevens, tenzij met DPI wat dan weer serieus wat processing power vraagt van je netwerkhardware (of de servers die je virtuele netwerk draait).

Op dit item kan niet meer gereageerd worden.