Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Advies NCSC: overweeg Citrix ADC- en Gateway-servers uit te schakelen

Het NCSC waarschuwt dat er nog geen goede manieren zijn om de kwetsbaarheid van Citrix ADC- en Citrix Gateway-servers ongedaan te maken. Tot het moment dat een patch beschikbaar komt, is het advies om servers desnoods uit te schakelen aangezien het lek misbruikt wordt.

Citrix publiceert op zijn site weliswaar stappen om de kwetsbaarheid van Citrix Gateway- en Citrix Application Delivery Controller-servers te verminderen, maar het Nationaal Cyber Security Centrum benadrukt dat er nog geen goede, gegarandeerd betrouwbare oplossing is.

Citrix zelf meldt donderdag dat de mitigaties door een bug niet bij alle softwareversies werken. Citrix ADC 12.1-builds van voor 51.16/51.19 en 50.31 bevatten een bug die maakt dat de workarounds niet doorgevoerd worden. Het advies is om eerst de software te updaten en dan alsnog de mitigerende maatregelen toe te passen.

Citrix brengt de eerste patches rond 20 januari uit. Daarbij gaat het om Citrix ADC en Citrix Gateway versie 11.1 en 12.0. Op 27 januari verschijnen de fixes voor versies 12.1 en 13.0 en voor versie 10.5 is dat 31 januari. De eveneens kwetsbare versies 10.2.6 en 11.0.3 van Citrix SD-WAN Wanop krijgen ook oplapmiddelen, maar wanneer is nog niet bekend.

Tot die patches er zijn, adviseert het NCSC om inzichtelijk te maken wat de impact is van het uitzetten van de betreffende servers: "Afhankelijk van de impact, adviseert het NCSC om te overwegen de Citrix ADC- en Gateway-servers uit te zetten." Als dat niet redelijkerwijze tot de mogelijkheden behoort, zouden bedrijven intensief moeten monitoren op mogelijk misbruik of ip-adressen moeten whitelisten. Volgens de organisatie misbruiken criminelen de gevonden kwetsbaarheden momenteel en is de kans op succesvolle aanvallen hoog. Via aanvallen kunnen criminelen direct toegang tot het lokale netwerk van een bedrijf krijgen en willekeurige code uitvoeren.

Dinsdag bleek dat van 60.000 wereldwijd gescande Citrix-servers 25.121 kwetsbaar waren, waaronder 713 in Nederland. De stichting Z-CERT meldt meer dan 100 zorginstellingen benaderd te hebben die kwetsbare Citrix-servers gebruiken. Z-CERT is een expertisecentrum op het gebied van cybersecurity in de zorg, dat is opgericht op initiatief van de Nederlandse Vereniging van Ziekenhuizen, Nederlandse Federatie van Universitair Medische Centra en GGZ Nederland. Afgelopen zaterdag heeft Z-CERT een 'Operational Alert' uitgestuurd naar zorginstellingen met het advies om met de grootst mogelijke spoed maatregelen te treffen.

Door Olaf van Miltenburg

Nieuwscoördinator

16-01-2020 • 19:07

103 Linkedin

Reacties (103)

Wijzig sortering
De NCSC en Citrix website spreken elkaar tegen:

NCSC: Citrix bevestigt sinds vandaag op zijn website dat deze maatregelen in ieder geval niet werken voor versie 12.1 (builds voor 51.16/51.19 en 50.31).

Citrix: In Citrix ADC Release 12.1 builds before 51.16/51.19 and 50.31, a bug exists that affects responder and rewrite policies bound to VPN virtual servers causing them not to process the packets that matched policy rules.

NCSC zegt dat de builds 51.16/51.19 en 50.31 nog lek zijn.
Citrix zegt dat builds BEFORE 51.16/51.19/50.31 nog lek zijn.

Heeft er iemand bij NCSC zitten slapen of zit citrix fout?

[Reactie gewijzigd door RobDG op 16 januari 2020 21:28]

Dat komt doordat de tekst bij Citrix is op meerdere manier te lezen is. Op basis van mijn eigen testen met 12.1.50.31 werkt de fix op die release; uiteraard garantie tot aan de deur, niet goed Netscaler weg. (Met fix worden de tests succesvol tegengehouden).

12.1.50.28 heeft een known bug die het gebruik van responders raakt (waar de fix gebruik van maakt). Dit is volgens de release notes in 12.1.50.31 gefixt.

[Reactie gewijzigd door ijdod op 16 januari 2020 21:47]

Heb contact gehad met Citrix Support en zij zeggen dat versie 51.19 niet vatbaar is voor de bug. Dus dat before klopt wel. Ik vind het bericht van NCSC zeer misleidend.
Website van NCSC is aangepast
https://www.ncsc.nl/actue...len-niet-altijd-effectief

Ze adviseren nu dus dat de builds vóór 51.16/51.19 en 50.31 lek zijn

[Reactie gewijzigd door RobDG op 16 januari 2020 22:27]

Beide spreken over voor. Dus versie 12.51.1 tm 12.51.19 en 12.1.50.1 tm 12.50.31 dienen te worden geüpgraded.
Ze spreken van voor. Dat is niet inclusief (dus 'tot', niet 'tot en met').
Het nederlandse "voor" is een goede vertaling van "before"...
https://en.bab.la/dictionary/english-dutch/before
https://context.reverso.net/translation/english-dutch/before

[Reactie gewijzigd door tweaknico op 17 januari 2020 00:05]

Na alle IT-ers die scripts hebben geschreven om een verificatie te doen heeft Citrix er ook een uitgebracht.

https://support.citrix.com/article/CTX269180

8)7
Die niet ook nog eens gebaseerd lijkt op een eerste exploit die nog geen rekening houdt met de twijfels over hun eigen mitigatie.
laten we het erop houden dat er veel paniek is bij partijen met NetScalers.. :)

en icm de Crypto update van microsoft is het een heerlijke cocktail :)

maar irriteer mij het meest dat ze zelfs de fix voor 27 januari nog niet kunnen garanderen.

Makkelijk gezegd je netscaler uitschakelen voor buiten wereld.
Maar vaak gaat er meer over een netscaler dan alleen citrix ;) ADFS enz |:( 8)7
Je kan de NS inzetten als firewall. Of dat verstandig is, laat ik even in het midden.
Daarnaast is er een niet-nihil risico (ervaringen uit het verleden en zo...) dat de patch dingen stuk maakt.
Dit soort dingen is dus de reden dat je de beveiliging van kritische systemen niet van 1 product af moet laten hangen. Dan maar een authenticerende reverse proxy ervoor, of alleen toegang via VPN, maar niet kaal aan het internet hangen. Is misschien wat minder gebruiksvriendelijk, en sluit nog steeds niet helemaal uit dat het systeem gecompromitteerd wordt, maar het reduceert de beveiligings en continuïteit risico's enorm.
Dat is juist wat de Netscaler Gateway doet. Die bood een veilige manier om je Citrix applicaties vanaf het internet te benaderen ;)
Een enkele vendor vertrouwen is wel wat naïf. Dubbele systemen en authenticatie is toch wel wenselijk met dit soort omgevingen.
Nou ja, op zich kan je je eigen authenticatie aan Netscaler Gateway koppelen. Wij hebben bijvoorbeeld Safenet als extra authenticatie layer, maar dat voorkomt dit lek niet ;)
Als het product zelf lek is gaat het idd niet werken.
Ik ben van mening dat bijna alles zo lek is als een mandje.🤪
Een keten kan dit beter oplossen.
Dus een Netscaler Gateway en daar achter een Microsoft Windows Remote Desktop Gateway? PS Die is ook lek.
Sinds dinsdag niet meer als je netjes gepatched hebt. ;)
Hahah ja idd, je NetScaler ook niet als je mitigation had toegepast voor Kerst 👌🏼😉🤣
Al mijn klanten, welke gewoon netjes voor de kers de mitigation hadden toegepast kunnen nu nog lekker werken.
Waarna bij problemen leveranciers naar elkaar gaan wijzen..... Daarom vaak niet wenselijk.
Het grote probleem is vooral de vraag waarom er voor een Netscaler is gekozen. Dit kan best een valide keuze zijn, maar vaak is het gewoon een soort koppelverkoop geweest samen met de VDI omgeving, en onbekendheid/angst op dit op een ander platform te bouwen. Citrix verspreid daarbij een enorme hoeveelheid FUD over dat onderwerp.

[Reactie gewijzigd door ijdod op 16 januari 2020 20:22]

Omdat het nogal bewerkelijk is om je virtual desktops via een 3rd party aan te bieden. Aparte regel in je loadbalancer voor elke vd of rds machine 🤦‍♂️. Ongelofelijk onhandig in onderhoud, trust me.
Daarnaast zijn Citrix en F5 de enige 2 partijen die in het gartner quadrant rechts boven staan en daarmee hun compleetheid en ability to execute over een lange tijd hebben bewezen op de groot zakelijke markt.
Alles achter een VPN.
Dan wordt je attack-vector toch echt een stuk kleiner
Ja maar dan hebben users geen single click experience!!1!!.

Die overigens met veel recentere browsers sowieso al een stuk minder is :D.
tot je klanten helemaal geen VPN-client kunnen/mogen installeren omdat ze er al een andere hebben draaien of op een ander platform werken. Zo biedt SD Worx (grootste HR dienstverlener in België) bepaalde apps aan om administratie te doen, dan spreken we over duizenden klanten met vaak een eigen IT-omgeving waardoor het onmogelijk is om die allemaal te verplichten om nog meer van "jouw" software te installeren. Er zijn zelfs bedrijven die gewoon géén 3rd party apps toestaan, net uit angst voor dit soort situaties (aan de client kant dan).
Niet iedereen die Citrix gebruikt, biedt dit ook aan derden aan.
Er zijn dus vast use-cases waar vpn wel een oplossing.
Dit soort manier van software aanbieden (zoals SDWorx blijkbaar doet); is natuurlijk oldskool software. Hoog tijd dat bedrijven zich inzetten om dit soort software om te bouwen naar fully webbased applicaties.

[Reactie gewijzigd door klakkie.57th op 16 januari 2020 23:24]

webservers kunnen natuurlijk ook altijd kwetsbaar zijn, dus da's niet altijd een heiligmakende oplossing
maar dan ben je niet afhankelijk van 1 bedrijf natuurlijk
Laten we OpenVPN gebruiken.
Of Cisco AnyConnect.
Of de PulseVPN

Maar juist de netscaler is hiervoor bedacht en ontworpen. Het is een Applicatie SSL VPN.
maar zo zit alles bij 1 vendor natuurlijk en ben je erg afhankelijk
Hangt er vanaf hoe je het ziet.
Voordeel is dat je 1 aanspreek punt hebt voor je complete stack. Alle kennis is aanwezig binnen die leverancier.

Heb je meerdere leveranciers, dan dan er juist ook weer een compatibiliteit issue ontstaan tussen de producten, wat juist security of availability (stabiliteit, performance) issues kan generen.

Je bent inderdaad afhankelijk van 1 leverancier, maar je hebt ook maar 1 leverancier die zijn shit probleem moet oplossen.
Gartner inderdaad. Ik zou bijna zeggen, I rest my case. :P Gartner heeft een beetje een handje van self-fulfilling prophecies. Dezelfde mensen die Gartner raadplegen worden door Gartner geinterviewd op basis waarvan Gartner zijn quadranten maakt, die weer geraadpleegd worden door... enz enz enz.

Er zijn oplossingen. Je noemt er zelf al een. In mijn ervaring met Citrix NS platform mis ik het security-DNA, zeg maar. En op een aantal zaken ook een serieus gebrek van ability to execute (van in elk geval de Netscaler divisie). Deze bug verraste me wel, zo knullig zie je ze niet vaak, helaas. (Ik beheer zowel Netscalers and F5s. We hadden de mitigation vorig jaar al geimplementeerd)
Toch zweert menig cio bij het gartner plaatje. Ook hiermee mitigation vorig jaar uitgevoerd en later remote werkers achter vpn gezet. Voor alle andere loadbalancing en reverse proxy zaken gebruiken we een ander product. Ik zit in de gelukkige situatie dat me hier snapt dat je niet “all your eggs in one basket” moet stoppen.
Klopt, dat is gelijk de kracht en het manco van Gartner, maar imho ook van metri etc. Het geeft mn een goed beeld van hoe een bedrijf gepositioneerd is in de markt, maar veel minder op het gebied van echte keiharde techniek. Ik heb met eigen ogen mogen aanschouwen wat je bij de kwadranten mag invullen en dat is op zijn zachtst gezegd geen kattenpis!

Desalniettemin vind ik persoonlijk het advies van NCSC nogal kort door de bocht. Ik ken genoeg ISV die hun "SaaS" oplossing aanbieden alszijnde een published app. Je gaat mij niet vertellen dat die niet achter ADC of NS hangen!
Even uit interesse, hoeveel ervaring heb je met het platform?
Netscaler als loadbalancer, (applicatie)firewall en gateway. F5 idem (LTM, AFM, ASM, APM). Ook ooit nog wat met Kemp gedaan. De laatste tijd vooral met F5 bezig.

[Reactie gewijzigd door ijdod op 17 januari 2020 11:50]

De grote vraag is:
Wie gaat straks de schade vergoeden die bedrijven geleden hebben?
Niemand. Citrix heeft ongetwijfeld een clausule in hun contracten staan dat ze hiervoor niet verantwoordelijk zijn. Zoals waarschijnlijk elk bedrijf. Software is dusdanig ingewikkeld dat nooit te garanderen valt dat er geen bugs in zitten.

Neemt niet weg dat Citrix wat mij betreft een stel prutsers zijn. Ze kunnen blijkbaar geen veilige software maken of snel patchen, maar ik heb ook nog nooit een Citrix-product gezien dat uberhaupt normaal bruikbaar of enigszins gebruikersvriendelijk is. Maar misschien is dat wel inherent aan de producten die ze maken. Veiligheid en gebruikersvriendelijkheid gaan iha niet echt hand in hand.

[Reactie gewijzigd door PhilipsFan op 16 januari 2020 19:24]

Neemt niet weg dat Citrix wat mij betreft een stel prutsers zijn. Ze kunnen blijkbaar geen veilige software maken of snel patchen, maar ik heb ook nog nooit een Citrix-product gezien dat uberhaupt normaal bruikbaar of enigszins gebruikersvriendelijk is. Maar misschien is dat wel inherent aan de producten die ze maken. Veiligheid en gebruikersvriendelijkheid gaan iha niet echt hand in hand.
Je begrijpt hoe complex de software is die ze maken? Wij kijken elk jaar naar een alternatief maar er is gewoon geen andere software is die alles doet wat Citrix doet. Aangezien jij het blijkbaar kent zou je dat moeten weten.

Alle mensen die zonder veel inzicht geroepen hebben dat Citrix toch binnen een paar dagen een fix zou moeten kunnen leveren weten gewoon niet waar ze het over hebben. Als ze denken dat ze het wel zouden kunnen (fixen en testen op alle versies binnen een paar dagen) moet echt eens bellen met Citrix want die zullen zeer graag eens met je willen praten. Ik denk dat ze je zonder aarzelen twee ton aanvangssalaris bieden als je kan waarmaken wat je roeptoetert.
Voor het getroffen product in kwestie, de Netscaler, is F5 een alternatief.

Het punt is niet zozeer dat Citrix tijd nodig heeft om dit te fixen, het probleem is dat niemand bij Citrix kennelijk in al die jaren en releases heeft bedacht dat dit een issue zou kunnen zijn. Dit issue is best een open deur, en iets wat voor dit soort security devices eigenlijk niet voor zo mogen komen.
De F5 kan niet wat een NetScaler allemaal kan.
De F5 kan veilig diensten publiceren naar het internet. Dan kan de Netscaler niet :D

De NS kan een paar zaken meer rond Citrix backends doordat ze uiteraard dichter bij het vuur zitten. Deze voordelen worden overigens door Citrix enorm opgeblazen. Buiten die zaken is het niet eens een wedstrijd. En de realiteit is dat de meeste omgevingen die zaken helemaal niet gebruiken. Dat zijn gewoon standaard next next finish implementaties op de NS. Surprise, dan doet de F5 het ook.

Het is opvallend hoe aggressief de toon van Citrix naar F5 is in hun marketing. Ze hebben een fraai 'Why chose Netscaler over F5' document gemaakt. Dat moet je vooral zien als entertainment, het waarheidsgehalte zit ergens op het niveau Fox News en Russia Today.

Al jaren ervaring met beide platformen in een Enterprise omgeving.
Een F5 is natuurlijk ook niet helemaal 100$ veilig. https://www.cvedetails.co...ist/vendor_id-315/F5.html

Zijn beide mooie producten hoor maar laten we er geen welles nietes spelletje van maken.
En vice versa.
Maar wat betreft de functionaliteit waar het hier over gaat, het ontsluiten van citrix desktop/apps, kan bv de Big-ip van F5 dit prima. Het is een fabeltje dat alleen netscaler/citrix gateway dit goed kan. Er wordt vaak gezegd dat je geen support krijgt als je geen 'citrix voor citrix' zet. Ook dat is niet waar, allemaal marketing poep, zoals ijdod ook al aangeeft.
Netscaler is ooit opgekocht door citrix en is dus niet een native citrix product. Het is een losstaand netwerk product.

[Reactie gewijzigd door PTR op 17 januari 2020 00:44]

Het gata hier over meer functionaliteit dan het ontsluiten van Desktop en Apps. Dat is maar 1% van wat een NetScaler kan. Groote waarschijnlijkheid dat wat je nu op internet doet door een NetScaler gaat ergens.
Dat is, maar de meeste bedrijven gebruiken het hoofdzakelijk als citrix portal, dus de adc (portal) en gateway (remote access) functionaliteit (de bug zit trouwens specifiek in deze componenten). En uiteindelijk functioneel gezien kan de big-ip ook alles wat de netscaler kan, dus ook die andere zaken. de kans dat het verkeer door een netscaler gaat is minstens net zo groot als dat het door een f5 product gaat, het zijn allebei grote spelers op dit gebied. Mijn opmerking ging vooral over de koppelverkoop. Ik heb een keer deze keuze mogen aanschouwen waarbij het 'citrix voor citrix' zetten argument is gebruikt. Met daarmee een extra ton op de factuur.

[Reactie gewijzigd door PTR op 17 januari 2020 11:41]

Ik ken Citrix eigenlijk alleen van de remote desktop/remote application oplossingen, dus kan je mij uitleggen wat er zo uniek is aan de ADC en Gateway software van Citrix dat het onvervangbaar maakt?
Microsoft is al meer dan 10 jaar bezig om in de buurt te komen van wat Citrix te bieden heeft, en ze komen ondertussen een heel eind. Maar staan nog steeds behoorlijk ver achter. De hoeveelheid verschillende systemen en applicaties die je via Citrix aan elkaar kan knopen en ook op elk systeem kan gebruiken is ongeëvenaard. Maar wat ook belangrijk is, dat als het draait (iets goed werkende krijgen kan best een puzzel wezen namelijk), hoe makkelijk Citrix te beheren en gebruiken is.

Citrix heeft zich in zijn stukje markt enorm gespecialiseerd, beetje van het zelfde niveau als ons eigen ASML in de chipbakmarkt voor elkaar heeft gekregen. Waar reuzen die vele malen groter en financieel krachtiger zijn in dat vakgebied, niet bij in de buurt weten te komen.
Mooi generiek antwoord dat (mij) precies niets zegt. Zoals ik eerder toe gaf ben ik niet bekend met wat Citrix te bieden heeft en wat hun ADC en Gateway software precies doet. Wel ben ik zelf beheerder dus het aan elkaar knopen van systemen en applicaties is dagelijkse kost voor mij. Ik doe dat echter op Linux systemen en vermoed dat daar niet de focus van Citrix ligt. Ik kom in ieder geval nooit Citrix software tegen in mijn werkzaamheden. Citrix ken ik vrijwel alleen maar van een VDI oplossing waar ik jaren geleden eens mee moest werken om (Windows) applicaties te gebruiken ongeacht waar je was. Dit was echter een drama om te installeren en configeren op een Linux desktop en de performance was niet fantastisch, ook niet op Windows clients. Bovendien kan dat ook prima op andere manieren, zoals bijvoorbeeld met een RDP oplossing van Microsoft.
Citrix biedt voornamelijk virtualisatieoplossingen. Ze zijn daarbij groot geworden met terminal servers (meerdere users op 1 server), en zijn zoals gezegd met afstand de partij voor virtuele werkplek (VDI) diensten en applicatie virtualisatie. Dit behelst veel meer dan alleen het remote laten zien van een desktop; ook alle tooling om dit op enterprise schaal te beheren. Mag je een mening over hebben, maar staat in feite los van het issue.

*Daarnaast* hebben ze een security product dat Netscaler heet. Dit product is waar we het hier over hebben. Dit wordt vaak gebruikt om de Citrix virtualisatie producten naar gebruikers op het internet te presenteren, maar het kan veel meer. Op basis van de features zou je vrijwel alle traditionele firewall functionaliteiten bij de Netscaler kunnen onderbrengen, en sommige partijen doen dat ook. En dat apparaat zelf blijkt dus zo lek als een mandje te zijn.

[Reactie gewijzigd door ijdod op 16 januari 2020 22:22]

Dat apparaat is niet lek als een mandje, slechts 1 bepaalde feature. Dat maakt het niet goed, want het is wel degelijk ernstig.

Als je het apparaat goed hebt ingeregeld, is de maximale schade heel erg beperkt (daarom niet erg vervelend).


Het probleem is dat er weinig echte experten zijn op dit gebied, laat staan dat bedrijven hiervoor willen betalen. Veel van de kwetsbare systemen zijn net die die initieel enkel gebruikt werden voor remote access naar vdi/remote oplossingen van Citrix.
Dat is semantiek. Gezien de functie, aard en inzet van dit apparaat en de kwetsbaarheid is 'lek als een mandje' niet onterecht.
Er is een verschil tussen semantiek en nuancering. ;)
Nou, geef me maar een link, ik ben benieuwd naar de oplossing.

Maar ik zal NetScaler blijven inzetten, het is en blijft een goed product, al zal het een tijd duren eer ze van dit communicatie-debacle zullen recupereren.
Netscaler had ik wel van gehoord en kwam op mij altijd over als een overgewaardeerde oplossing.
Tja... Het zijn anders hele mooie devices, die die veel kunnen.
Nu het ook nog onveilig blijkt te zijn zal ik het lekker links laten liggen.
Wat is onveilig? Welke leverancier heeft tegenwoordig geen security issue gehad? Menige loadbalancer of VPN technologie heeft wel :wat" issues gehad.
ik heb ook nog nooit een Citrix-product gezien dat uberhaupt normaal bruikbaar of enigszins gebruikersvriendelijk is. Maar misschien is dat wel inherent aan de producten die ze maken. Veiligheid en gebruikersvriendelijkheid gaan iha niet echt hand in hand.
Beetje heel erg kort door de bocht wat mij betreft. Citrix is een prachtig stuk software, welk, mits goed geïmplementeerd, fantastisch bruikbaar en uiterst gebruiksvriendelijk is. Wel zorgelijk dat het zo lang duurt voor men een patch gereed heeft, dat wel ja...
Onvermijdelijke risico. Tenzij Citrix enorm laks is geweest of slordig heb je geen poot om op te staan.
Deze bug neigt wel heel erg naar ernstige nalatigheid.... maar ik denk niet dat Citrix directe rekening gaat krijgen. Hooguit indirect als er voor andere producten gekozen wordt. Hun VDI business zal het denk ik niet raken, maar de Netscaler tak zou wel eens een gevoelige klap kunnen krijgen.
Dan ga ik even advocaat van de duivel spelen: waarom zouden organisaties deze producten in hun netwerk zetten als ze niet weten hoe veilig ze zijn? Ligt de nalatigheid ook bij die organisaties?
Reality Check: in de praktijk weten de meeste bedrijven dat niet echt. Dat is vaak een kwestie van vertrouwen op leveranciers. Maar weinig bedrijven doen zelf pentests.

Mijn punt is vooral dat dit niet een hele obscure bug was die een onverwacht effect had op de veiligheid. Bug kan je nooit 100% uitsluiten. Dit was er echter een van een bijzonder knullig niveau...
Ik zou het vreemd vinden als we het dan alleen over nalatigheid van een maker willen hebben. Als je als bedrijf vertrouwen in een fabrikant wil hebben moet je dat toch immers ergens op baseren wat betrouwbaar is. Anders heet het goedgelovigheid. Waaruit had hier dan moeten blijken dat je als klant maar in een fabrikant moet vertrouwen terwijl je zelf het risico loopt dat iemand in je netwerk in kan breken en grote schade kan veroorzaken? Dat klanten liever vertrouwen hebben dan zekerheid mag dan misschien realiteit zijn maar het doet niets af aan de vraag of men soms niet zelf nalatig is naast de fabrikant.
Ik snap waar je heen wilt, en kan daar tot op zekere hoogte in meegaan, maar ik vind de redenering nogal krom. Dat is de automobilist de schuld geven als de remmen het niet blijken te doen.
Maar die is ook nalatig als die er weet van kon hebben. Je moet niet voor niets voor je gaat rijden gecontroleerd hebben of je voertuig in goede staat is of zelfs door een minimale keuring laten gaan. En dan hebbem we het zelfs over een situatie waarbij de auto pas door de fabrikant verkocht mag worden als er een onafhankelijke keuring aan vooraf is gegaan.
Waarschijnlijk niemand. Tenzij de bedrijven zelf ervoor verzekerd zijn. Of tenzij CItrix ernstig verwijtbaar gehandeld heeft, en dat betwijfel ik. Citrix zelf zal sowieso niet kapitaalkrachtig genoeg zijn om überhaupt veel schade te kunnen vergoeden, en ze zullen gevolgschade ongetwijfeld uitgesloten hebben in de contracten. Geen enkel bedrijf wil en kan aansprakelijk zijn voor gevolgschade.
Waarom denk je dat Citrix niet verwijtbaar gehandeld zou hebben? Hoe is een beveiligingsproduct verkopen waar kennelijk al jaren basis fouten veilig programmeren in zitten niet verwijtbaar? Het product is daardoor immers kennelijk geen beveiliging maar een enorm risico.
Op juridisch vlak gelden er strenge eisen voor verwijtbaarheid. Het is niet voldoende dat iemand je iets verwijt - er is altijd wel iemand die iets te klagen heeft. Je handelt verwijtbaar als je iemand bewust schade toebrengt, of bewust de kans neemt iemand schade toe te brengen. En dan hoort daarbij ook nog een belangenafweging tussen beide partijen: de belangen van de ander moeten onevenredig geschaad zijn door jouw actie (of jouw inactie).

De aanwezigheid van bugs is op zich niet verwijtbaar. Ik ben geen jurist, maar een beveiligingsprodukt wat zo slecht ontworpen is dat het vol zit met beveiligingsfouten lijkt me op z'n hoogst wanprestatie. En dan nog alleen als die fouten het produkt onbruikbaar maken. Maar als een produkt jarenlang in de praktijk functioneert zonder dat de problemen in de praktijk veel last geven, terwijl bugs die ontdekt worden redelijk spoedig worden opgelost, dan is daar niets verwijtbaars aan.

Het lijkt me dat Citrix in de laatste categorie valt: het functioneert in de praktijk voor de meeste mensen, wat security betreft, prima . Als ik dan aanneem dat Citrix ook op z'n minst redelijk goed omgaat met ontdekte kwetsbaarheden, dan kan niemand ze juridisch gezien iets verwijten. Zeker omdat ze eventuele aansprakelijkheid in hun contracten 100% zeker uitgesloten hebben.

Conclusie: ik denk niet dat Citrix (juridisch gezien) verwijtbaar gehandeld heeft.
Niet Citrix. Daar zullen zeer zeker zaken staan in de EULA die hun vrijwaren van dergelijke zaken.
Niet een mogelijke externe IT partij die de IT beheert, ook die hebben clausules die hun vrijwaren van dergelijke zaken.

Dit is het risico met elk product welke je inzet binnen een bedrijf, tenzij er criminele nalatigheid in het spel is, wat imho erg moeilijk te bepalen is met specifiek software.

Het is een issue voor de bedrijven zelf, in veel gevallen zijn er meer mogelijkheden om je omgeving te beveiligen...

Dit gaat enorm veel imago schade betekenen voor Citrix...
Dat hangt er vanaf of er enige nalatigheid valt aan te tonen. En als ik de blogposts van security researchers lees zijn het zelfs basisfouten in programmeren geweest. Op meerdere plekken in de code invoer van gebruikers die zomaar verwerkt mocht worden. Basisfouten die bij een serieuze controle van de code al snel te zien moeten zijn geweest en gedurende meerdere versies van de software. Hoe wil Citrix dan beweren dat ze tijdens het programmeren en het controleren en testen hun best hebben gedaan om de fouten te voorkomen?

[Reactie gewijzigd door kodak op 16 januari 2020 22:58]

Basisfouten die bij een serieuze controle van de code al snel te zien moeten zijn geweest en gedurende meerdere versies van de software.
Hoeveel 'basisfouten' worden er in het verkeer gemaakt en ook al wordt je daar voor beboet, het is niet direct criminele nalatigheid, maar eerder een 'ongeluk'. En wat wij wellicht (nu) zien als 'basisfout' hoeft een rechter zo nog niet te zien, vandaar dat ik aangeef dat dit erg moeilijk is met software. Ik zie het niemand lukken om daar een werkbare aanklacht van te maken met een degelijke kostenvergoeding.
Dat gaat lekker bij Citrix. Bijzonder dat ze wel met een mitigation komen, maar t nog niet fixen. Het heeft nogal wat impact op sommige omgevingen kan ik me zo voorstellen
Mogelijk een heel complex probleem?
Ik denk vooral complex om te fixen op een product waar kennelijk al jaren niet met een security-mindset aan is ontwikkeld. Iets wat je juist voor zo'n product juist wel wilt hebben. Bugs kan je niet altijd voorkomen, maar een open directory traversal is wel heel erg amateur hour.
Hoe gemakkelijk de bug te misbruiken is, wil niets zeggen hoe gemakkelijk de bug op te lossen is.

Maar meer dan een maand doorlooptijd voor dit soort grote issues, zou niet moeten mogen.
Wat ik opvallend vind is dat sinds die Iraanse APT groep is ontdekt er nu ineens allerlei stevige lekken bekend raken bij Citrix. Zou het één met het ander te maken hebben wellicht?
Overigens geldt dit lek toch alleen voor Gateways die direct aan het Internet hangen toch? Als je via een stepping stone gaat met 2fa dan is het risico toch veel kleiner?

NB. En als het verkeer tussen cliënt en Netcaler alleen maar via Gemnet loopt, naar zeg maar het UWV of zo, hoeveel risico loop je dan als organisatie?

[Reactie gewijzigd door regmaster op 16 januari 2020 21:50]

Interne risico's moet je niet onderschatten, maar reeel gesproken een enorm stuk kleiner. Op dit moment is het grootste probleem dat alle scriptkiddies wereldwijd nu proberen Netscalers te grazen te nemen. Dat probleem heb je simpelweg niet op een gesloten omgeving.
Om het heel simpel uit te leggen:
De NetScaler biedt een authenticatie Portal aan om je met 2fa te kunnen aanmelden op de gateway of aaa virtual servers (NV voor SSO). Dit draait op een apart Apache-proces.

Het is net op een deel van de website die dat portaal aanbiedt, dat de kwetsbaarheid zich bevindt. Niet netjes...


Al het andere wordt gewoon netjes afgevangen door de NetScaler, en het blijft op dat gebied een product dat weinig concurrentie heeft (behalve F5 en Imperva).
Via deze python tool kan men zien of men vulnerable is of niet: https://support.citrix.com/article/CTX269180

Edit: Blijkbaar had iemand dit al geplaatst. Mijn excuses.

[Reactie gewijzigd door cooLopke op 16 januari 2020 23:52]

???

Dus ADC versie 12.1 is affected en zo komen met patch update 12.0 ?

En waarom servers uit zetten wat een raar advies weer van de NCSC als er van de 60000 servers maar 25000 affected zijn kunnen die 25K toch zelfde maatregelen nemen als die andere 45K ipv gewoon je server uit zetten.
Er komt een patch voor alle versies. Met uitzetten bedoelt men de netscaler gateways, dus geen externe verbindingen meer toelaten. Dat is bij de meeste bedrijven vaak maar 1 device (of 2 indien redundant).
Of je zet gewoon 443 naar binnen toe dicht op je firewall, is lichtelijk makkelijker.
Yep alleen kan dan niemand nog inloggen extern
Dat kun je ook niet als je de gateway uitzet.
Omdat er op dit moment geen garantie is dat de fix daadwerkelijk afdoende beschermd.
"maar het Nationaal Cyber Security Centrum benadrukt dat er nog goede, gegarandeerd betrouwbare oplossing is."
Dan is er toch geen probleem? :)
Inderdaad. Typ fout in Tweakers nieuws bericht..
Ergens had nog ' geen ' moeten staan
maar dat er nog goede, gegarandeerd betrouwbare oplossing is.

Nog geen goede moet dat zijn denk ik

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True