Citrix brengt patch uit voor sommige kwetsbare ADC's en Gateway

Citrix heeft twee patches uitgebracht voor de ernstige beveiligingslekken in de Citrix Application Delivery Controller en de Citrix Gateway. Het gaat om softwarepatches voor een aantal servervarianten. De rest van de varianten krijgt de update versneld.

Citrix schrijft in een blogpost dat er een permanente fix is voor bepaalde versies van de Application Delivery Controller, die ook bekend staat als de voormalige NetScaler ADC. Het gaat om versies 11.1 en 12.0. Die werken volgens Citrix ook voor virtuele installaties op bijvoorbeeld Azure, AWS of Hyper-V. De nieuwe versies met de patch hebben de nummers 11.1.63.15 en 12.0.63.13. De patches repareren een ernstige kwetsbaarheid in de Citrix-software die samenhangt met de functie om vanaf een afstand thuis te kunnen werken. Met de kwetsbaarheid kan een aanvaller een remote code execution verrichten.

De patch geldt nog niet voor alle kwetsbare versies van de ADC en Gateway. Alleen de meestgebruikte versies worden ermee gerepareerd. Citrix zegt dat de update voor de andere versies sneller komt. Ook de huidige versie is er vanwege de ernst sneller dan verwacht. Aanvankelijk zouden versies 11.1 en 12.0 pas op 27 januari een patch krijgen. Versies 12.1, 10.5 en 13.0 krijgen naar verwachting 24 januari een patch. Dat zou aanvankelijk 31 januari zijn. Citrix raadt systeembeheerders aan op die andere versies de mitigatie uit te voeren. Het bedrijf heeft een tool gemaakt waarmee kan worden gecontroleerd of dat succesvol is gedaan.

De kwetsbaarheid werd eind vorig jaar ontdekt. Citrix had tot nu toe nog geen patch beschikbaar voor het lek. Wel raadde het bedrijf een mitigatie aan waarmee de ernstigste schade kon worden voorkomen. Desondanks bleken verschillende instanties getroffen door een aanval via het lek. Dat gebeurde onder andere bij het Medisch Centrum Leeuwarden en de gemeente Zutphen. Kort daarna, op advies van het Nationaal Cyber Security Centrum, schakelden bedrijven, overheden en gemeenten hun Citrix-systemen uit voorzorg uit.

Reacties (136)

CyBeRSPiN 20 januari 2020 09:48

Wat een ellende. Wel typisch dat NL zich hier meer druk om maakt dan de rest van de wereld. Zijn wij zo'n Citrix bolwerk hier?
Bij Nieuwsuur was een mooie reportage hierover. Daar werd het beeld geschetst dat ze in december te snel met een halve patch kwamen. Die patch triggerde de community om te kijken waar het mis zat en kwam toen achter de rest van de issues die nog niet was geadresseerd.
Beter was dus, achteraf gezien, om nog even door te ontwikkelen en testen aan een volledige patch om geen slapende honden wakker te maken.

Ook vraag ik me af: wie hangt zn Citrix nu rechtstreeks aan het net? Waarom niet over een degelijke VPN oplossing? Wordt dat te lastig voor de gebruikers?

[Reactie gewijzigd door CyBeRSPiN op 22 juli 2024 23:53]

mkools24 @CyBeRSPiN • 20 januari 2020 11:56

Ook vraag ik me af: wie hangt zn Citrix nu rechtstreeks aan het net?

Dat is heel de use case van dit ding. Maar in de media wordt het ook Citrix server genoemd, eigenlijk is dat fout. Het is meer een appliance eigenlijk of gateway device. Een Citrix server verstaan we eerder een Windows server onder waar gebruikers op inloggen.

fvdberg @CyBeRSPiN • 20 januari 2020 10:39

Dat zijn centric restanten. Maar ja bijna alle lokale provinciale en landelijke overheidsorganen werken met Citrix. Alsof daar nog wat oude stugge beheerders vast geroest zitten. Licentie technisch is Citrix al zeker 5 jaar onverkoopbaar ten voordele van een hardware firewall, hyper-v en remote desktop/ app-v of gewoon azure

akkermand @fvdberg • 20 januari 2020 15:31

Dit is aantoonbaar onwaar. Citrix wordt meer aangeschaft en gebruikt dan ooit. De klanten van Citrix (en VMware Horizon View) bestaan voornamelijk uit organisaties met een zeer mobiele workforce. Denk aan telewerkers, thuiswerkers, externen, projectmedewerkers, etc. Het zijn juist dit soort ongefundeerde reaguursels waardoor de overdreven shitstorm is ontstaan. Dat, plus een heleboel IT'ers die hun straatje aan het schoonvegen zijn omdat ze hun zaken niet op orde hebben. Die gaan hetzelfde truukje volgende week ook gebruiken als er weer ergens een lek gevonden wordt.

Ik ben wel benieuwd naar jouw redenatie waarom hardware-firewall dit probleem op gaat lossen, maar ik heb zo'n vermoeden dat daar geen serieuze argumenten aan ten grondslag liggen.

In RDP zat zeer recent ook een gigantisch lek overigens, maar daar lees je in de overschrijfmedia dan weer bijna niks over.

Verwijderd @akkermand • 20 januari 2020 16:14

Zowel jouw als fvdberg's reactie zijn extreme uiteinden van het spectrum. Of Citrix nut heeft in jouw organisatie is een vraag die uniek is voor iedere organisatie.

Hij heeft een punt dat veel organisaties nooit na hebben gedacht of een business case hebben geschreven over het gebruik van Citrix. Veel gemeenten hebben gekozen voor SBC / VDI vanwege de illusie dat dit veiliger is. Alle data (en werkplekken) op 1 locatie. Dit is hun zo verkocht door grote IT leveranciers (waar ik deze ook heb gebouwd). Dit is echter allemaal gebaseerd op een leugen want data is niet veiliger binnen een Citrix omgeving. De fysieke locatie is tegenwoordig (met het internet) totaal niet meer relevant. Daarnaast is Citrix heel erg duur, die kosten komen nog bovenop alle Microsoft kosten van terminal server licenties en CALs. Voor de meeste organisatie's zal Citrix totaal overbodig zijn en zal men zelfs met MS VDI nog uit de voeten kunnen.

Uiteindelijk is SBC/VDI als concept totaal achterhaald, je zal immers nooit een latency vrije omgeving kunnen creëren of een YouTube video op 4K kunnen kijken. Het hele terminal server principe van werken is een oplossing voor een probleem van vroeger. Er bestaan nu veel betere oplossing voor.

Andere organisaties maken echter ook goed gebruik van Citrix door bijvoorbeeld zones en lagen te bouwen in het netwerk met Citrix. Zo kunnen eenvoudig applicaties benaderd worden binnen afgeschermde zones op een eenvoudige manier. Ziekenhuizen gebruiken het om eenvoudig van werkplek te kunnen wisselen. Zo kan een arts snel data opvragen bij een werkstation in de buurt.

Anyway, of Citrix de oplossing voor jouw organisatie is een unieke vraag. De markt wordt echter steeds kleiner omdat er veel alternatieven zijn tegenwoordig.

fvdberg @akkermand • 20 januari 2020 16:46

RDP is in de huidige vorm ook dood althans open naar het internet

er zijn tal van oplossingen die RDP binnen een tunnel uitvoeren, denk bijvoorbeeld aan het inmiddels ook weer achterhaalde DirectAccess

en een hardware firewall lost niet per definitie het probleem op, maar geeft wel inzag, controle en logging. Elke firewall is zo sterk als degene die hem configureer en monitort

[Reactie gewijzigd door fvdberg op 22 juli 2024 23:53]

Verwijderd @CyBeRSPiN • 20 januari 2020 11:43

Waarom niet over een degelijke VPN oplossing? Wordt dat te lastig voor de gebruikers?

Die zit er juist wel tussen, dit is juist de VPN oplossing van Citrix en heeft weinig te maken met de citrix workspace waar jij (waarschijnlijk) aan denkt

dit probleem speelt zich af op de citrix gateway aka Netscaler.

CyBeRSPiN @Verwijderd • 20 januari 2020 11:55

Ik doelde op het Citrix landschap, dus inclusief Citrix ADC / Gateway.
En bedoelde met een "degelijke VPN oplossing" dat je daarvoor VPN client software gebruikt en niet alles vanuit een browser afhandelt. En ja dat is irritant voor eindgebruikers ivm routering van alle traffic, maar lijkt me wel een stuk veiliger.

bvdli @CyBeRSPiN • 20 januari 2020 12:10

Deze Citrix ADC appliance biedt precies dat: VPN oplossing voor Citrix ICA verkeer, dit product was voorheen bekend onder de naam Netscaler.

Paul @CyBeRSPiN • 20 januari 2020 15:04

Het hele punt is juist dat deze ADC's / Netscalers, net als een VPN oplossing, bedoeld zijn om voor bepaalde dingen het eerste entry-point van je netwerk te zijn en zo de boel te beveiligen. Daar zet je geen VPN vóór, dit is de VPN voor je thuiswerkplek (en sommige andere zaken).

Een andere functie van het ding is reverse proxy: het ontsluiten (en load balancen) van webservers. Als (bijvoorbeeld) Nu.nl je vraagt een VPN-client te installeren voordat je de site mag zien, doe je dat dan? Of ga je op zoek naar een andere site om je nieuws vandaan te halen? Je kunt moeilijke al je klanten, al je bezoekers, iedere zoekmachine waarop je hoopt gevonden te worden, eigenlijk gewoon de hele wereld, een VPN client geven voordat ze op je website kunnen.

icecreamfarmer @CyBeRSPiN • 20 januari 2020 09:55

Beter georganiseerd, veel meer thuiswerkplekken, rest interesseert het minder?

ijdod

@icecreamfarmer • 20 januari 2020 14:14

De rest heeft geen overtrokken(?) reactie van de plaatselijke NCSC-equivalent, vooral.

icecreamfarmer @ijdod • 20 januari 2020 15:16

Geen idee. Ik werk voor een zorginstelling waar we ook citric hebben maar hier heeft de RvB samen met de externe partij welke ons netwerk beheren er voor gekozen het open te houden en alles te monitoren.
Uitzetten zou een te grote weerslag op de zorg hebben.

ijdod

@icecreamfarmer • 20 januari 2020 15:47

Ook zorg hier. De vrijdagavond update van NCSC, WVS en Z-CERT was voor onze RvB juist reden om te stekker er uit te trekken vrijdagnacht. Snap die afweging wel, wij zouden iets groter nieuws zijn dan MCL. En telewerken is geen primair bedrijfsproces.

[Reactie gewijzigd door ijdod op 22 juli 2024 23:53]

inhico @ijdod • 20 januari 2020 19:02

Grote uitvoeringsdienst van een ministerie hier. Volgens onze ict-club zijn in december de nodige voorzorgsmaatregelen genomen. Telewerken via Citrix is zonder onderbreking mogelijk gebleven.

ijdod

@inhico • 20 januari 2020 20:14

Wij hebben die maatregelen ook in december al genomen. Technisch zagen wij geen issues. Zoals gezegd, ik snap de afweging op politiek niveau, technisch/rationeel waren we het er niet mee eens. Immers, als er wel meer aan de hand was geweest, had je op de voorpagina gestaan. In die zin verbaast je ministerie me, de gemiddelde BVA heeft als hoofddoel te voorkomen dat de M moet uitleggen waarom zijn/haar ministerie op de voorpagina van de Telegraaf staat

Equator Crew Council @CyBeRSPiN • 20 januari 2020 10:14

Ook vraag ik me af: wie hangt zn Citrix nu rechtstreeks aan het net? Waarom niet over een degelijke VPN oplossing? Wordt dat te lastig voor de gebruikers?

Nu moet je bedenken dat de NetScaler ADC een apparaat is om juist de gateway te zijn tussen het onveilige Internet en je interne Citrix omgeving. Dus zo heel raar is dat niet. Dat je er nog een Firewall tussen zet is logisch, maar daarmee beperk je deze aanval niet.

Verder is de NetScaler ADC ook veelvuldig ingezet als Layer 7 Load Balancer, Web Application Firewall en nog vele andere functies. Het hoeft dus niet eens een rol als Citrix Gateway te zijn. Maar daarmee was je nog wel potentieel kwetsbaar voor deze exploit.

iMars @CyBeRSPiN • 20 januari 2020 10:43

Ook vraag ik me af: wie hangt zn Citrix nu rechtstreeks aan het net? Waarom niet over een degelijke VPN oplossing? Wordt dat te lastig voor de gebruikers?

Het hangt niet direct aan het internet, er zit nog een laag firewalls tussen, zie hier meer info:
https://www.security.nl/p...e+laatste+stand+van+zaken

...
De ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall.

Een tweede product dat Citrix uit de stal van NetScaler meenam was de Gateway. Via deze oplossing kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Een van de onderdelen is een "clientless VPN" waarmee medewerkers alleen via hun browser het intranet van een organisatie kunnen benaderen. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren.

...

CAPSLOCK2000

Beveiliging en antivirus

@CyBeRSPiN • 20 januari 2020 11:24

Wat een ellende. Wel typisch dat NL zich hier meer druk om maakt dan de rest van de wereld.

Inderdaad typisch, wij zijn wel vaker het landje dat z'n zaakjes op orde heeft.

Zijn wij zo'n Citrix bolwerk hier?

Ik geloof dat we hier te maken hebben met de wet van remmende voorsprong. Citrix was ooit de dominante oplossing voor remote desktops. Vooruitstrevend als we zijn hebben we in die tijd een hoop van dat soort systemen gebouwd en daar zie je nu nog de sporen van.

Ook vraag ik me af: wie hangt zn Citrix nu rechtstreeks aan het net? Waarom niet over een degelijke VPN oplossing? Wordt dat te lastig voor de gebruikers?

Gebruikers ervaren een VPN inderdaad vaak als lastig, zeker als die VPN hun normale internetverbinding blokkeert. Verder beweert de leverancier (uiteraard) altijd dat zijn product foutloos en super veilig is. Minder ervaren IT'ers willen dat soms geloven. Daarnaast zijn mensen erg slecht in het inschatten van risico's. Iedereen denkt altijd "ach, de kans is zo klein, dat zal mij toch niet overkomen" of "ach, wij zijn zo klein en onbekend, niemand kent ons en er is hier toch niks te halen". Dat is natuurlijk net als zeggen dat kleine kinderen en bejaarden niet kwetsbaar zijn voor de griep "want er is toch niks te halen", maar het is hoe mensen nu eenmaal denken.
Ten slotte kost het allemaal bergen geld en zeker voor leken is erg moeilijk om in te schatten welke maatregelen de moeite waard zijn en wat de juiste balans is tussen veiligheid en kosten. Je kan zo je hele bedrijfskapitaal in nutteloze beveiligingsmaatregelen steken zonder er iets mee op te schieten*.

Het wrange is wel dat de kosten enorm door aan het schieten zijn. Om het goed te doen is haast niet te betalen en dat leidt tot moeilijke keuzes. Stel dat blijkt dat het 1 miljoen kost om een echt veilige website te bouwen, dan betekent het dat 90% van de kleine bedrijfjes en verenigingen zich geen veilige website kan veroorloven. Geen website is in deze tijd echter zelfmoord voor je bedrijf, je moet vindbaar zijn op internet. Als de keuze is tussen een bedrijf met een brakke website of helemaal geen bedrijf zal iedereen voor die eerste optie gaan.

BCC @CyBeRSPiN • 20 januari 2020 11:37

Sommige sectoren in Nederland houden stug vast aan het bezoeken van internetsites via Citrix (onderwijs, zorg, overheid). Soort probleem van de remmende voorsprong.

[Reactie gewijzigd door BCC op 22 juli 2024 23:53]

akkermand @BCC • 20 januari 2020 15:39

Dat is vanwege SSO, auditing, etc. Dat is in die wereld best wel een dingetje, zoals je had kunnen weten als je wel eens de discussie over privacy en regelgeving had gevolgd. De wereld is complexer dan de leek ooit kan vermoeden.

BCC @akkermand • 20 januari 2020 16:15

Ik weet daar prima van, maar er zijn veel modernere oplossingen hiervoor zoals okta.

batavier @CyBeRSPiN • 20 januari 2020 15:30

Als ik me niet vergis was het 't NOS Journaal dat meldde dat er in Nederland zo'n 2.000 bedrijven met Citrix werken. In Duitsland is dat minder dan 4.000. En volgens een Tweakers-artikel gaat het in totaal om "80.000 bedrijven in 158 landen".

Artbij @CyBeRSPiN • 20 januari 2020 12:15

Het NCSC baseerd zich op informatie van de AIVD. Iets wat andere landen niet kunnen.

ijdod

@Artbij • 20 januari 2020 14:18

Nee, maar andere landen hebben ook hun inlichtingendiensten.

Overigens is er niet gezegd dat er informatie van de AIVD was. Er is gezegd dat er veiligheidsadvies van de AIVD was. Dat kan zoiets simpels zijn geweest als 'als je het uitzet ben je veilig'. Geheel correct, komt dan van de AIVD, maar voegt feitelijk weinig toe. Of de AIVD heeft zijn mond voorbijgepraat en gezinspeeld op andere kwetsbaarheiden (waar ze zelf gebruik van maken, bijvoorbeeld)...

Rolfie

@Artbij • 20 januari 2020 19:31

Heb je hier ook een bron van? Wat oa Fox IT zegt namelijk heel wat anders.

Daarnaast is het antwoord van NCSC ook al diverse malen aangepast wegens fouten.

Mit-46 @CyBeRSPiN • 20 januari 2020 12:05

In het artikel worden 2 instanties genoemd die mogelijk getroffen zijn door aanvallen via dit lek.

Hoezo zouden wij ons er dan niet druk om maken? Het kan aan mij liggen....

CyBeRSPiN @Mit-46 • 20 januari 2020 12:07

Je begrijpt me verkeerd. Ik bedoel: waarom maken alleen wij ons druk en hoor je er weinig over hoe dit in andere landen speelt.

Mit-46 @CyBeRSPiN • 20 januari 2020 12:18

Oh!
Excuus!

Rob @CyBeRSPiN • 20 januari 2020 10:02

Ook vraag ik me af: wie hangt zn Citrix nu rechtstreeks aan het net? Waarom niet over een degelijke VPN oplossing? Wordt dat te lastig voor de gebruikers?

Dat vroeg ik mij ook af, maar wat ik nu begrijp is juist het gedeelte dat er voor zorgt dat je Citrix aan het Internet kan hangen, kwetsbaar.

Sa1 @Terrestrial • 20 januari 2020 10:17

Deze mag je verklaren, want dit gaat echt nergens om. De NetScaler Gateway, of hoe het ding tegenwoordig ook heet was en is een super oplossing je interne omgeving te benaderen. Heel gebruiksvriendelijk voor de medewerkers en secure by design. Helaas is er een bug / exploit of hoe we dit soort dingen dan ook noemen, daardoor blijkt het achteraf niet zo veilig te zijn. Maar om allemaal verschillende VPN oplossingen te bouwen en het complex voor de medewerkers te maken, tjah volgens mij maak je het dan alleen maar onveiliger omdat medewerkers dan om de systemen heen gaan werken.

Daarnaast wordt er geen code gedeeld tussen de ADC en de Windows servers, dus het is niet zo dat als je een andere VPN oplossing zou gebruiken, en daar bevindt zich een soortgelijke exploit dat je beter af zou zijn geweest.

[Reactie gewijzigd door Sa1 op 22 juli 2024 23:53]

kodak

Beveiliging en antivirus

@Sa1 • 20 januari 2020 11:45

Heeft citrix ooit de term secure by design gebruikt? En dan in welke context? Want secure by design is een omschrijving die je ook moet kunnen toetsen om er geen loze marketingterm van te maken. Een product verkopen als veiligheidsproduct maakt het ook niet secure by design. Als je als klant wil weten of een product veilig is vraag je op zijn minst bewijs aan de verkoper.
En om te stellen dat extra beveilig niet veilig zou zijn omdat iemand er dan omheen gast werken zegt eerder iets over het ontwerp van je beveiliging dan of extra beveiliging algemeen niet veiliger zou zijn.

Sa1 @kodak • 20 januari 2020 12:08

Een product als NetScaler, of een F5 bijvoorbeeld is zo veilig als je hem inricht. Next next finish, dan werkt hij gewoon, maar dat houdt niet in dat hij veilig is, of dat het conform de veilige methodes ingericht is. De verkoper heeft helaas ook niet altijd de juiste kennis van het product en daar gaat het veelal mis.

En wat je zegt klopt, het een sluit het andere niet uit qua veiligheid en een goed design helpt zeker, dus dat zal altijd de oorsprong moeten zijn.

kodak

Beveiliging en antivirus

@Sa1 • 20 januari 2020 12:19

Je geeft geen antwoord op de vraag over je stelling dat het secure by design is. Dat je het op verschillende manieren kan inrichten klopt, maar dat legt niet uit waarom je term wel of niet zou kloppen. Secure by design is wel even wat meer dan het goed inrichten. Dus nogmaals; Heeft citrix ooit de term secure by design gebruikt? En dan in welke context? Iets is niet spontaan secure by design omdat iemand een product die term geeft.

Pathogen @Sa1 • 20 januari 2020 10:26

Prachtig hoe je jezelf tegenspreekt en het gedeelte "bug / exploid" compleet bagatelliseert.

Als een product secure by design is, dan hoort er ook met gepaste snelheid een oplossing voor gaten in die security te komen.
En dat iets super handig is, maakt het niet secure by design.

kodak

Beveiliging en antivirus

@Pathogen • 20 januari 2020 12:35

Waarom vat je het op als het bagatelliseren van bug exploits? Ik lees dat een van de stellingen is dat het wel vaker voor komt. Dat op zich lijkt me geen bagatelliseren.

De vraag die geen beantwoording krijgt is waarom het mee zou vallen dat er wel meer bugs / exploits gevonden worden. Risico is namelijk meer dan het bestaan van bekende bugs / exploits of de snelheid waarmee noodoplossingen of updates beschikbaar zijn. Risico is ook afhankelijk van of een fabrikant een goed ontwerp heeft en aan kwaliteitsverbetering doet zonder afhankelijk te zijn van bekende exploits. Of dat een fabrikant snel updates levert zonder het een crimineel makkelijker te maken. Of door er aantoonbaar is dat er kwaliteit is doordat een klant inzage krijgt in testresultaten.

Sa1 @Pathogen • 20 januari 2020 11:04

Dan denk ik dat jij niet weet wat een NetScaler is kan en doet. Er was overigens direct een workaround beschikbaar voor deze bug / exploit, alleen de definitieve oplossing liet (lang) op zich wachten. Ik ga echt citrix niet verdedigen hier hoor, begrijp me niet verkeerd, maar bugs of exploits worden heel veel gevonden, niet alleen in Citrix software of hardware, maar vrijwel overal. Zie het bericht van een lek in IE waar hier op t.net staat dat het pas in feb gedicht gaat worden ook al wordt het actief misbruikt.
Je ziet me nergens vertellen dat als het super handig is, dat het secure by design is, weet niet precies waar je dat leest. Wat ik zeg is dat als je allerlei blokkades gaat opwerpen door het inzetten van bijvoorbeeld meerdere VPN oplossingen, dat dat niet het per se veiliger maakt. Ach, ik denk dat voor alles wel voor- en nadelen zijn en ieder heeft recht op z'n eigen visie.

[Reactie gewijzigd door Sa1 op 22 juli 2024 23:53]

Cergorach

Beveiliging en antivirus

@Sa1 • 20 januari 2020 12:13

Ik ben geen Citrix fan, in het verleden veel te veel gelazer ermee gehad. Maar inderdaad bugs kunnen altijd opduiken en ontdekt worden, het issue is niet dat ze niet voorkomen, het issue is de scope, impact en oplostijd.

Het Citrix 'issue' vergelijken met het IE issue slaat natuurlijk nergens op. Je kan makkelijk een andere browser gebruiken. Hell, veel organisaties hebben IE al verwijderd op PCs... En als je IE dan nodig hebt om specifieke brakke sites te benaderen kan je het ook nog eens zo instellen dat je alleen die sites kan benaderen en geen anderen...

Het Netscaler issue is veel breder/diepgaander en is mogelijk geen goede oplossing voor om het veilig te houden zonder enorm ingrijpende veranderingen. Hell, de mitigation blijkt niet voor iedereen te werken. Deel van het issue is dat beheerders blind een 'oplossing' geloven van een leverancier en het vervolgens niet nog eens gaan testen en dan leuk zeggen "Geen issue bij ons, want wij hebben de handleiding voor de 'mitigation gevolgd...".

Als je geen brood kan krijgen, zijn er zat alternatieven die hetzelfde bereiken. Als je geen water kan krijgen heb je een veel groter probleem. En natuurlijk zijn er zat instanties die daar al workarounds voor hebben, maar als je niet een van die instanties bent en nog een hele waterfiltering installatie moet bouwen, heb je een probleem!

Er zijn andere oplossingen dan Citrix... Niet dat deze nooit lekken hebben of zullen krijgen, maar Citrix vraagt de hoofdprijs en levert dan deze 'service'. Ik verwacht dat Citrix in Nederland zijn marktaandeel flink zal zien afnemen. Al zullen het niet de ITers zijn die dat beheren, dan zullen het het wel de beslissers zijn die er een onveilig gevoel van hebben gekregen...

Paul @Cergorach • 20 januari 2020 15:22

Hell, de mitigation blijkt niet voor iedereen te werken. Deel van het issue is dat beheerders blind een 'oplossing' geloven van een leverancier en het vervolgens niet nog eens gaan testen en dan leuk zeggen "Geen issue bij ons, want wij hebben de handleiding voor de 'mitigation gevolgd...".

Nee, het probleem is juist dat men dat NIET gedaan heeft, en dan de mitigation de schuld geven

De mitigation doet het prima, als je ze maar zo doet zoals voorgeschreven. Over de firmware versies met extra bug zegt Citrix het volgende: https://support.citrix.com/article/CTX267027

In Citrix ADC and Citrix Gateway Release "12.1 build 50.28", an issue exists that affects responder and rewrite policies causing them not to process the packets that matched policy rules. Citrix recommends that customers choose one from the following two options for the mitigation steps to function as intended:

1. Update to the refreshed "12.1 build 50.28/50.31" or later, OR
2. Apply the mitigation steps towards protecting the management interface as published in CTX267679. This will mitigate attacks, not just on the management interface but on ALL interfaces including Gateway and AAA virtual IPs

Die stap over de management interface staat er al vanaf (bijna? aangemaakt 16 dec, laatst bijgewerkt 17 dec) het begin bij op https://support.citrix.com/article/CTX267679

Er zijn zeker andere oplossingen dan Citrix, maar die hebben hun eigen vóór- of nadelen, en die kunnen net zo goed lekken bevatten. Het blijft gewoon afwegen van alle voors en tegens, maar dit 'akkefietje' zal ze zeker niet helpen nee.

ijdod

@Paul • 20 januari 2020 18:36

Citrix was rijkelijk laat met het melden van de issues van die specifieke release; dit werd pas in de loop van afgelopen week bekend. Ik vermoed dat ze de aanname gedaan hebben dat deze niet meer gebruikt zou worden. Hij was ook niet meer te downloaden. Dat laatse is bij meer leveranciers een rode vlag dat je wellicht een recentere versie moet gaan gebruiken, ook al melden ze je dat niet expliciet.

FreshMaker @Sa1 • 20 januari 2020 12:17

Chrome en een aantal antivirus aanbieders hebben een aardig deel al ondervangen.
100% veiligheid is er niet, het blijft oppassen met bevoegdheden en mogelijkheden die je de gebruiker geeft.

Sa1 @DohnJoe • 20 januari 2020 11:20

aangepast

Sa1 @Terrestrial • 20 januari 2020 11:08

Maar het is geen lek in Citrix, het is een lek in de ADC functionaliteit, toch? Zou hetzelfde zijn als dat er een lek in Microsoft zit, of een lek in Adobe, of .. nou ga maar door... En ik vind het prima hoor dat jij Citrix geen goede oplossing vindt hebben, dat is echt prima, maar dat houdt niet in dat je gelijk hebt. En zeker, als de setup van Citrix niet op een juiste wijze ingericht wordt, dan is het vaak waardeloos, maar dat geldt voor andere oplossingen niet minder.

Paul @Terrestrial • 20 januari 2020 15:31

De berichtgeving is heel erg gericht op leken, want ze noemen het allemaal "Citrix" en "server", iets wat de meeste Nederlanders die er überhaupt een beeld bij hebben zullen associëren met XenApp of XenDesktop, de thuiswerkplek. Ook omdat ze het in het nieuws steeds over thuiswerken hebben. Daar gaat het echter absoluut niet over, met die producten heeft dit niks te maken, en daar komt een hoop verwarring van.

Het gaat specifiek over de "Citrx ADC", vroeger "Citrix Netscaler" genoemd. Daar zet je geen VPN vóór, dat is de VPN voor je thuiswerkers. Maar het ding kan / doet véél meer. Het is o.a. een reverse proxy, een load balancer, een security device om websites die dat zelf niet kunnen van een inlogpagina te voorzien, een security device om een website die zelf een single factor login heeft te voorzien van 2nd factor authenticatie, een device dat TLS Client Certificates kan controleren, etc. Ook daar zet je geen VPN voor, want dan moet je zo ongeveer de hele wereld van een VPN-client (en username / password / certificaat) voorzien: het apparaat zorgt juist dat je website voor de buitenwereld te benaderen is

Je eigen medewerkers of eventueel zelfs leveranciers kun wel een VPN geven, maar als Tweakers jou zou vragen een VPN client te installeren voordat je de site kon bezoeken, dan ging je op zoek naar een andere tech-site

Het apparaat is echt bedoeld om aan de rand van je netwerk te zitten en inkomende requests vanaf het internet te beveiligen. Het is dan ook wel ironisch (en zuur) dat net in zo'n soort apparaat zo'n fout zit.

Paul @Terrestrial • 20 januari 2020 17:37

Lees mijn reactie nog is [sic] terug, dit soort oplossingen is anno 2020 exact wat jij voorstelt om te doen en een heel goed plan. Een ADC (of je nu die van Citrix, F5 of een ander neemt) IS het apparaat wat je er voor zet om de boel te beveiligen...

Als je hun gateway oplossing gebruikt wel maar dat was per definitie een slechte oplossing. Altijd zorgen dat je een aparte leverancier neemt voor je VPN.

...alleen is maar één van de twee lek, dus dat had je hier niet geholpen. Sterker nog, dat hebben wij op het werk (Citrix Netscaler als SSL-VPN en reverse proxy, VMware Horizon voor VDI), en dat zorgt er niet op magische wijze voor dat die Netscaler ineens niet lek is, of dat het lek niet te gebruiken is. Het zijn ook beide (VDI-oplossing en load balancer) compleet andere zaken, dus 2 verschillende achter elkaar heeft geen enkel nut, want ze doen heel andere dingen. Op een Netscaler kun je geen Outlook openen of Word-document schrijven, en met een VDI sessie kun je geen website ontsluiten naar de buitenwereld.

Je verhaal slaat nergens op, een reguliere VPN oplossing en een Citrix server delen normaal geen code dus hoe kan een lek in citrix dit veroorzaken dan, dat kan alleen als ze wel code delen en daar zit exact het probleem.

Nee, jouw verhaal slaat nergens op

Het nieuws schaart het allemaal onder "Citrix", maar Citrix is een bedrijf dat heel veel producten heeft, en de gemiddelde Nederlander kent de VDI / remote desktop / SBC (XenDesktop / XenApp). Laat daar nu net deze CVE niet over gaan. Met die producten van het bedrijf Citrix heeft dit probleem niets, maar dan ook echt helemaal niets te maken.

Het apparaat wat deze vulnerability heeft (In het nieuws heel verwarrend "Citrix server" genoemd) is een compleet ander product. Het integreert mooi met XenDesktop en XenApp, maar dat wil niet zeggen dat het code deelt. Het wil ook niet zeggen dat XenDesktop of XenApp lek zijn. Het wil alleen maar zeggen dat als je je SSL VPN endpoint uitzet, je geen gebruik meer kunt maken van je SSL VPN of zaken die je via die VPN ontsluit (zoals een Citrix XenDesktop farm). Wat raar...

Wat ik heb begrepen is zowel Citrix als ADC kwetsbaar.

Ik herhaal, Citrix is een bedrijf, en ze hebben heel veel producten. Dat het nieuws het op één hoop gooit en daardoor een heleboel mensen denken dat het om een ander product gaat is spijtig, maar dat heeft geen enkele invloed op of het design klopt.

Ze hadden een scan gedaan en konden zo allerlei kwetsbare citrix servers op internet vinden.

Ja, dat is het doel van zo'n scan. Ik kan ook een scan draaien en kwetsbare Apache, nginx of IIS-servers vinden. En dat is ook (bijna) niet te voorkomen. Zelfs als je bij bent met patchen kun je vaak wel achterhalen welke software een bepaalde webserver draait.

Dat is al vreselijk verkeerd natuurlijk, je wilt helemaal niet dat ze vanaf internet kunnen zien dat je überhaupt citrix draait.

Hoe wil je dat voorkomen? Aan de inlogpagina van de thuiswerkplek kun je 99 van de 100 keer zien welk bedrijf het geleverd heeft. En waarom is dat zo erg? Security through obscurity is geen security. Als Citrix en ik onze zaakjes op orde hebben mag jij best weten dat ik een Netscaler gebruik. In ons geval wordt je zelfs op het verkeerde been gezet, want onze thuiswerkplek is VMware Horizon. Via een Netscaler...

En als je een fatsoenlijke VPN gebruikt zien ze dat toch ook niet.

Nee, dan zie je welke VPN-software je gebruikt. Die ook lek kan zijn

De Netscaler is een fatsoenlijke VPN. Net zo fatsoenlijk als bijvoorbeeld een Cisco of Checkpoint VPN. Die hebben in het verleden ook CVE's gehad die flinke impact hadden. Alle software heeft fouten. Ook die "fatsoenlijke VPN" van jou.

Nog los daarvan; een VPN is geen compleet alternatief voor een Netscaler. Publieke websites (zoals het patiëntenportaal van het MCL) zet je niet achter een VPN, maar zijn wel typisch iets wat je via de Netscaler ontsluit.

YoMarK @Terrestrial • 20 januari 2020 17:02

Doe jezelf en iedereen even een lol, en lees je eerst eens in in de materie, voordat je allerhande onzin gaat rondtoeteren. Verschrikkelijk.
Een Citrix server staat in je LAN. Dat zijn gewoon terminal servers/VDI desktops. Daar zitten geen issues in, alleen wil je die natuurlijk niet direct aan internet hangen. De NetScalers(waar het hier wél over gaat) staan doorgaans in je DMZ waar dan een firewall tussen LAN en inet kant zit. De NetScaler is (in theorie)een zero-footprint VPN server.
Als VPN client heb je de Citrix Receiver nodig op je PC(ipad, android, enz...), óf je kan gebruik maken van de HTML5 client in je browser.
De Receiver maakt verbinding via poort HTTPS 443 naar de NetScaler, en die fungeert als secure VPN en load balanceer voor je citrix farm die daar ergens achter uithangt.

Maar goed, het probleem zit dus in de NetScaler. En het security probleem is inderdaad matig opgepakt en afgehandeld door Citrix.
Maar het is conceptueel zeker niet minder veilig dan een willekeurig ander VPN. Als er een bug inzit, en als je daadwerkelijk verbinding kan maken vanuit het internet met je VPN server( en dat is tbv authenticatie natuurlijk nodig ), kan kan je dus net zo goed de pineut zijn.

YoMarK @Terrestrial • 21 januari 2020 10:29

Het is GEEN single signon. 2e factoren als RSA of client certificaten worden doorgaans gebruikt, dat hebben tig andere gebruikers hiervoor ook al tegen je verteld. Echter is de webinterface lek. En daardoor kunnen ze op je NetScaler komen, en vanuit daar de rest van je infra aanvallen.
Het probleem met een VPN server is alleen dat die zelf, ondanks dat deze in de DMZ staat, toegang heeft tot veel resources. Daarnaast onderhoud een VPN serverde encrypted(Citrix/rdp/data , boeit niet) sessies van je clients, dus een MITM attack is dan een koud kunstje als je weet wat je doet.

Maar hetzelfde kan gebeuren bij andere VPN leveranciers. Als je VPN server(OpenVPN, iets anders proprietary, maakt niet uit...) bereikbaar is vanuit het internet, en hij is te exploiten, dan heb je hetzelfde probleem. Maakt in princiepe niet uit of die nu wel/geen HTTPS interface heeft(al is het de laatste tijd wel raak met dit soort exploits). Dat is wat jij maar niet lijkt te begrijpen. Je blijft maar over je single vendor en 2e factor bezig. NetScaler is gewoon het VPN product, en bied ondersteuning aan legio andere vendoren tbv 2e factoren, maar het is net als iedere VPN server, de spin in het web.

Rolfie

@Terrestrial • 20 januari 2020 19:27

Je hebt argumenten, maar er zijn veel meer argumenten die van belang zijn.

Single vendor kan juist veiligheid en stabiliteit opleveren. Je hebt maar 1 aanspreek punt voor je stack.
Bij meerdere leveranciers kun je vinger wijzigen krijgen die het (security) issue mag oplossing. Ook vaak genoeg mee gemaakt.

Of het dus een slecht plan is, hangt van veel meer af.

Verwijderd @Terrestrial • 20 januari 2020 12:32

Nee, het is puur de ADC/Netscaler die kwetsbaar is, vooral in de rol van Gateway is het een flink risico. Daardoor kon men afhankelijk van de opzet door de authorisatieprocedure heen bruteforcen of met wat pech heen glitchen. Als je de ADC weet te breken en weet te bereiken dat het systeem je onterecht als legitieme remote user ziet...

Edit: Overigens zal elke gateway-protocol toch een bepaalde typische response afgeven. Denk dat ze specifieke queries hebben gedaan en hebben gekeken wat voor response ze terug kregen en daarmee telden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:53]

arjamptey @Verwijderd • 20 januari 2020 12:42

Edit: Overigens zal elke gateway-protocol toch een bepaalde typische response afgeven. Denk dat ze specifieke queries hebben gedaan en hebben gekeken wat voor response ze terug kregen en daarmee telden.

Yes, zie dit artikel over het scannen naar deze specifieke kwetsbaarheid: https://isc.sans.edu/forums/diary/A+Quick+Update+on+Scanning+for+CVE201919781+Citrix+ADC+Gateway+Vulnerability/25686/

pnxsinned @Terrestrial • 20 januari 2020 15:33

Het device na inloggen bouwt als het ware een vpn op middels SSL. Het dient als een clientless VPN. Zie het gewoon als VPN device, wat dus lek bleek te zijn.

Dit kan met elke VPN dienst gebeuren.. met dezelfde gevolgen.

pnxsinned @Terrestrial • 20 januari 2020 16:26

Netscaler is een goede "VPN" oplossing.
En dit kan dus met elke goede VPN oplossing gebeuren.

Staat ook los van 2fa etc. Dit kan je gewoon instellen op een ADC...

[Reactie gewijzigd door pnxsinned op 22 juli 2024 23:53]

pnxsinned @Terrestrial • 20 januari 2020 16:38

Ik ga stoppen met reageren hierop, want heb het gevoel dat je nog nooit met een ADC gewerkt hebt, en er ook niet al teveel van weet. No offence.

pnxsinned @Terrestrial • 20 januari 2020 17:09

Deze exploit heeft niets te maken met SSO.
Je kunt het enablen, of niet, je kunt 2fa enablen of niet. etc.
Had allemaal 0,0 zin gehad. Vandaar ook mijn opmerking.

Als er een dergelijke exploit wordt gevonden, op een dergelijk VPN device, kan je altijd diverse attacks doen.
Ik zou me echt gaan verdiepen wat er gebeurd is, de exploit zelf, en wat een ADC eigenlijk onderwater allemaal doet.

[Reactie gewijzigd door pnxsinned op 22 juli 2024 23:53]

Rolfie

@Terrestrial • 20 januari 2020 19:24

Onzin.... Citrix ADC / Gateway kan ook gewoon SAML of Radius authenticatie gebruiken. Gewoon netjes een 2FA oplossing.

Maar als je VPN (wat de gateway is) lek is, dan heb je al snel een probleem met je infrastructuur.

En juist de Netscaler is een SSL Offloader en Analyses uitvoeren, zoals WAF of WAP.
Juist de responder policy is eigenlijk een WAP protectie.

Maar als je Interfacing endpoint lek is, dan heb je gewoon een probleem.

Rolfie

@Terrestrial • 21 januari 2020 07:50

Ik zeg toch nergens dat je geen probleem hebt met je infra-structuur? Maar er is een levensgroot verschil tussen bad guys die toegang hebben tot je DMZ of ineens ook toegang hebben tot je interne achterliggende citrix farm en dat is hier gaande.

Vanuit een DMZ heb je altijd toegang tot interne resources indien die gepubliceerd zijn/worden. Voor Citrix heb je ook alleen toegang tot storefront en je Citrix farm op de Citrix poorten.

Schakel je SSO uit heb je al een deel van het probleem opgelost mits ze niet al binnen waren, is je DMZ nog steeds lek maar is de impact een stuk minder.

Opbasis waarvan? Netscaler hoeft namelijk helemaal geen SSO te doen. Maar toch lek zijn.
Maar al zet je SSO uit op je netscaler, dan had dit ook niet uitgemaakt, hij was nog steeds lek. Tenzij je de responder policies actief maakt.

Je kunt er ook gewoon een reguliere VPN oplossing voor zetten natuurlijk.

Je weet dat de NetScaler juist ook een SSLVPN Appliance is en juist exact het zelfde doet als een VPN?
Maar wat als je nu een PluseVPN er voor had zitten? Hoe zie je het dan? Cisco AnyConnect?
OpenVPN?
Wat als je VPN lek is? Deze staat ook in je DMZ, en heeft meestal toegang tot veel meer resources op je interne netwerk?
En trouwens reguliere VPN kunnen ook SSO doen.
En we gebruiken hier AzureAD als authenticatie, waarbij men op Windows machines daarna nog een keer mag inloggen. Of LDAP icm RSA. Dus welke SSO bedoel je precies?

Je hebt wat problemen met het snappen van juist de NetScaler Citrix ADC is/doet en hoe deze zijn werk doet. Dit device is juist bedacht voor in je DMZ.

[Reactie gewijzigd door Rolfie op 22 juli 2024 23:53]

bvdli @Terrestrial • 20 januari 2020 12:11

Bedoel je het product Citrix Secure Gateway wat sinds 2015 end of life is?

GrooV @CyBeRSPiN • 20 januari 2020 09:57

Inderdaad, ik heb bij internationale klanten gezien dat Citrix nog steeds draait alleen NL zet alles uit.

Ik weet niet wie er gelijk heeft hoor, voorzorg is altijd goed maar kan me aan de andere kant ook niet voorstellen dat wij de enige zijn

Kamiklase1 @FreshMaker • 20 januari 2020 11:02

Het Nieuwsuur item was sterk. Een interview met een CEO waar de paniek toch wel is toegeslagen en de bekende specialist Prins.

CyBeRSPiN @FreshMaker • 20 januari 2020 10:02

Heb je de uitzending gezien of reageer je met je onderbuik?
Was vrij sterk verhaal en ze hadden ook een van de Citrix board members live in de uitzending.

PageFault @CyBeRSPiN • 20 januari 2020 10:06

Ik heb het ook nog niet bekeken, maar naar de actie met Rian van Rijbroek hebben de meeste mensen wel een nare nasmaak van Nieuwsuur en ICT

DeCo @CyBeRSPiN • 20 januari 2020 10:09

Freshmaker reageert naar aanleiding van een eerdere uitzending met veruit de beste hacker en expert op dat gebied Rian van Rijbroek, die een zeer verhelderend verhaal kwam vertellen over blockchains en DDoS-aanval op banken destijds.

Ik heb deze Citrix uitzending niet gezien, maar heb het item bij voorbaat daarom ook niet hoog zitten.

[Reactie gewijzigd door DeCo op 22 juli 2024 23:53]

AddictIT @CyBeRSPiN • 20 januari 2020 13:34

Ik ga hier heel kort op antwoorden:

Die aflevering in Nieuwsuur kon niet slechter gemaakt zijn.
Het verhaal klopt niet of is minstens onvolledig.

De experten die ze hadden gevraagd, waren heel goed in het overdrijven van de situatie en het marketen van hun eigen diensten. Resultaat: nog meer paniekvoetbal.

Mel33 20 januari 2020 09:58

Ze moeten echt goed opletten want als je leest dat de hacker het citrix systeem ZELF gaat patchen en zo daarmee de controle houdt, is het hele linke ervan.

edit,
@FreshMaker hieronder: Daarom(mede) zijn ze ook uitgezet, this een drastische maatregel maar dus precies hierom.

[Reactie gewijzigd door Mel33 op 22 juli 2024 23:53]

FreshMaker @Mel33 • 20 januari 2020 10:03

Grootste gevaar zijn de sleepers nu
Je kan prima patchen, en mitigation uitvoeren, maar als je niet terugrolt naar een oudere versie van vóór het bekend worden, is de kans dat er een indringer is geweest, die zijn malware lekker over x maanden laat activeren.

en ineens is niet bekend HOE ... want we hebben de boel toch gepatched.

edit,
@FreshMaker hieronder: Daarom(mede) zijn ze ook uitgezet, this een drastische maatregel maar dus precies hierom.

Ze zijn bijna 3 weken LATER gaan patchen.
De eerste berichten van de vulnerability komen uit de 2e week december vorig jaar.
Normaal gezien zijn de 'inbrekers' eerder op de hoogte van een slecht slot dan een nieuwsmedium.
In de afgelopen 3 weken zijn er 1000én berichten wereldwijd geweest over de kwetsbaarheid, de ene organisatie na de andere heeft besloten om hun systemen te patchen / uit te zetten.

Wie er van uitgaat dat hun apparatuur pas NA 7 jan. is besmet, kan zomaar voor verrassingen komen te staan.
https://www.bleepingcompu...backdoor-them-for-access/

Ik ga de verantwoording niet nemen, ik zou mijn systemen terugzetten naar een snapshot van voor half november, vóór de media's er achter gekomen zijn.
Nog geen 100% veiligheid, omdat niet bekend is OF het lek al voor die tijd is misbruikt.
Ik hoorde in Hacking Humans ( podcast ) dat er in de vroege weken van november als proof of concepts waren.

[Reactie gewijzigd door FreshMaker op 22 juli 2024 23:53]

Cergorach

Beveiliging en antivirus

@FreshMaker • 20 januari 2020 12:20

Het gaat natuurlijk nog verder, alle ww resetten, niet alleen van je admins, maar ook van alle users. Je weet immers niet of er een keylogger actief is geweest. En direct alle users controleren op alle systemen/applicaties, is elke user ook daadwerkelijk er eentje die zou moeten bestaan en niet opeens een 'ghost user' met (admin) rechten die ze hebben aangemaakt.

En wat een hoop ITers ook leuk doen, is als ze iets hebben gevonden, ze ophouden met zoeken.

FreshMaker @Mel33 • 20 januari 2020 10:26

Nou, Citrix wordt over het algemeen niet echt gebruikt in kleine MKB's

Dan wordt het wat lastig, om 'even' opnieuw te starten

pnxsinned @FreshMaker • 20 januari 2020 15:37

Hoezo is dit lastig?
Of het een MKB is van 50 mensen, of 1000 mensen, vaak hoef je maar 1 ADC opnieuw te doen.

Je zou de config kunnen exporteren, kijken in de export of er geen xml templates op gekke locaties staan e.d
Ernaast richt je je 2e ADC in, load config in, checked settings, gogo live.

En heb je geen config, kan je die wizard goed even volgen met de hand. Je kunt immers de oude booten en "spieken".
Max 1 uurtje werk.

Verwijderd @pnxsinned • 21 januari 2020 21:09

You’re absolutely right!
Reinstall your Netscalers, transfer your config (check for xml files in weird locations!) or configure them manually, apply Mitigation and upgrade to patched build and your safe!

pnxsinned @Verwijderd • 21 januari 2020 21:13

Cheers mate.

visionn312 20 januari 2020 11:14

Onderstaande flow-chart kan helpen bij patchen en of je verder moet onderzoeken naar mogelijke breach: https://twitter.com/Bartr00s/status/1219008357744377856

tdlaccount 20 januari 2020 10:05

Wij hebben het vandaag geupload en geinstalleerd.

arnord @tdlaccount • 20 januari 2020 10:15

Functioneel hebben jullie ook de patch getest en zo ja nog tegen zaken aangelopen? En de migitation indien toegepast in stand gelaten?

tdlaccount @arnord • 20 januari 2020 10:19

draait op een test omgeving. Pas volgende week gaan we het faseren naar de rest.

Drardollan @tdlaccount • 20 januari 2020 11:13

Pas volgende week? Wow.

Het is goed om een (O)T(A)P strategie te hanteren, maar voor dit soort zeer kritieke zaken zou je direct moeten doorvoeren. Uiteraard wel eerst in test doen zoals jullie gedaan hebben, maar dan enkele uren later naar productie. De kwetsbaarheid is dermate kritiek dat dit elke shortcut rechtvaardigt toch? De risico's van de patch wegen toch niet op tegen de risico's van niet gepatched zijn?

AntiSocial @Drardollan • 20 januari 2020 11:18

Je gaat er daarbij wel vanuit dat ze de boel in productie nog actief hebben staan. Ik ken de OP niet, dus wellicht mis ik voorkennis, maar wellicht kiezen ze ervoor iedereen naar kantoor te laten rijden een weekje

Stoney3K @AntiSocial • 20 januari 2020 11:37

En dan tot de pijnlijke realisatie komen dat je meer werknemers hebt dan fysieke bureau's.

Cergorach

Beveiliging en antivirus

@Stoney3K • 20 januari 2020 11:52

Of nog leuker, iedereen op klapstoeltjes, laptops op het netwerk en je komt er achter dat je stroomnetwerk het niet aankan... ;-)

FreshMaker @AntiSocial • 20 januari 2020 12:24

Je gaat er daarbij wel vanuit dat ze de boel in productie nog actief hebben staan. Ik ken de OP niet, dus wellicht mis ik voorkennis, maar wellicht kiezen ze ervoor iedereen naar kantoor te laten rijden een weekje

Ik mag juist hopen van niet

Aangezien actief houden dus het probleem is

iFap @Drardollan • 20 januari 2020 11:20

Ligt eraan waar de NetScaler voor gebruikt wordt. Ik snap wel dat je misschien meer tijd nodig hebt wanneer de NetScaler ook voor andere zaken gebruikt wordt zoals loadbalancing, firewalling etc.

Drardollan @iFap • 20 januari 2020 13:25

Correct me if I'm wrong, maar dat is toch het hele nut van de NetScaler? Die is toch altijd load balancer/firewall/etc. in 1? Dat is toch het voordeel?

Serieuze vraag, werk zelf niet met Citrix en ken het dus niet in detail.

iFap @Drardollan • 20 januari 2020 14:17

Ja dat klopt, maar niet alle functies worden altijd gebruikt. Ligt ook aan wat voor soort licentie je hebt. Sommige organisaties gebruiken de NetScaler heel beperkt, bijvoorbeeld alleen voor thuiswerk mogelijkheden. Dus vandaar mijn opmerking.

[Reactie gewijzigd door iFap op 22 juli 2024 23:53]

ijdod

@Drardollan • 20 januari 2020 14:31

Nee hoor. Zat bedrijven die de NS alleen maar gebruiken als ADC voor VDI. Of wel Netscaler voor al die zaken gebruiken maar verschillende devices voor verschillende rollen. Of inderdaad alle kaarten graag in een hand houden.

Blokker_1999

Beveiliging en antivirus

@Drardollan • 20 januari 2020 12:08

Vraag me af in wat voor omgeving jij werkt daar je denkt op enkele uren alles goed getest te kunnen hebben in je eigen omgeving.

Drardollan @Blokker_1999 • 20 januari 2020 12:44

Dat kan je niet.
In een dergelijk geval zou ik dat dan ook niet doen, soms moet je ook op je leverancier vertrouwen als er een update komt. In dit geval is het geen keuze van wel of niet installeren, dus het testen heeft weinig zin. Het is geen update die je eerst bekijkt of de functionaliteit je bevalt of dat alles nog werkt. Hij is essentieel om je apparatuur te kunnen gebruiken op een veilige manier.

TunefulDJ_Mike @Drardollan • 20 januari 2020 13:08

Of je hebt je apparatuur gewoon uitstaan zodat je rustig de tijd hebt om te testen of alles nog naar behoren werkt. Zeker met dit soort patches die in alle haast zijn gemaakt.

Drardollan @TunefulDJ_Mike • 20 januari 2020 13:22

In de haast gemaakt? Ze zijn er al sinds november mee bezig bij Citrix, dat noem ik geen haastklus (ik vind het zelfs een hele kwalijke zaak).

Het is getest in dit geval, want in de testomgeving ging het goed. Hoelang wil je in een test omgeving gaan zitten kijken terwijl je collega's niet meer kunnen werken? Er hangt ook een bedrijfsbelang aan vast. En als het fout gaat, tsjah, dan zou dat ook over een week zo zijn en dan moet je het ook oplossen.

Of deze oplossing de boel veilig maakt, daar kan je over discussmeren. Ik verwacht echter niet dat Citrix half werk levert in dit geval, ze hebben al genoeg te verduren. Dan hadden ze wel een dag langer gewacht desnoods. Sowieso is het verstandig om ook na deze patches de boel goed in de gaten te houden de komende tijd.

TunefulDJ_Mike @Drardollan • 20 januari 2020 14:35

Het is vrij gebruikelijk anders om een incubatie tijd te hebben op patches. Niet alle fouten komen direct naar boven. En welke belang is groter is iets waar de manager van de IT of nog hogerop een afweging over maakt.

"En als het fout gaat, tsjah, dan zou dat ook over een week zo zijn en dan moet je het ook oplossen."

Dit vind ik erg kort door de bocht, als je nu een week de tijd hebt op de omgeving in alle rust te testen is de kans dat je eventuele fouten vind groter. Stel dat je nu de patches naar productie zet en je over 3 dagen crasht de hele zooi en kan je geheel opnieuw beginnen. Daar wordt niemand vrolijk van. Dus als je de ruimte krijgt om te testen moet je eigenlijk altijd testen.

Drardollan @TunefulDJ_Mike • 20 januari 2020 15:15

Dat is zeker gebruikelijk. In een normale situatie. Dit is geen normale situatie, dit is een uitzonderlijk gevaarlijke situatie. In het beste geval staat de omgeving uit, en kan er dus niemand werken. Of de patch dan wel of niet goed werkt doet er dan toch niet meer toe? Nu werkt het sowieso niet namelijk.

In een minder gunstig geval zijn enkel de mitigaties gedaan en moet je 24/7 monitoren en heb je constant de hand op de 'shutdown' knop. In dat geval is er ook geen man overboord als er iets na de patch niet meer werkt.

En in het meest domme geval heb je niets gedaan en sta je volledig open op dit moment. Dat hoef je niet meer te patchen, dan is het al kapot waarschijnlijk.

Overigens lees ik her en der dat je binnen Citrix eenvoudig terug kan naar een eerder snapshot. Wat het risico op kapotmaken nog veel kleiner maakt.

ijdod

@Drardollan • 20 januari 2020 14:41

> soms moet je ook op je leverancier vertrouwen als er een update komt

Is dat dezelfde leverancier die we niet vertrouwen als ze zeggen dat de mitigatie afdoende is? Asking for a friend.

Drardollan @ijdod • 20 januari 2020 15:16

Je kan heel veel aanmerken op Citrix, en dat is volkomen terecht. Maar je mag er wel vanuit gaan dat deze oplossing een goede oplossing is. Willen ze over 2 maanden nog bestaan dan kunnen ze echt niet met troep komen.

Maar laten we het eens omdraaien, heb jij al berichten gezien van kapotte Citrix spullen na deze update? Ik niet namelijk.

ijdod

@Drardollan • 20 januari 2020 16:00

Ik wel. Dat verbaast me overigens niet, want dat is met dit soort platformen altijd een risico. Ook met de concurrent.

Mijn punt is vooral dat het wat vreemd is dat de mitigation niet vertrouwd wordt, en de patch wel. Die eerst is duidelijk wat er aan de hand is, en wat de mitigation doet. Van de patch hoop je dat dit het geval is...

Rolfie

@Blokker_1999 • 20 januari 2020 19:35

Hangt er vanaf hoe je de NetScaler gebruikt. Als je hem alleen als Gateway en loadbalancer gebruikt voor storefront, dan kan je hem erg snel testen en live brengen.

En er zijn voldoende fallback mogelijkheden voor de netscaler. Dus een fallback zou eventueel ook snel uitgevoerd kunnen worden. Maar dit hangt van je omgeving af.

En het uitlaten van de NetScaler kan ook grote impact hebben voor een bedrijf.

ijdod

@Drardollan • 20 januari 2020 14:28

Dan ga je er wel van uit dat hun productieomgeving nog gewoon aanstaat...

Drardollan @ijdod • 20 januari 2020 15:09

Dat is wel het meest aannemelijk toch? De meeste beheerders zullen met de mitigaties en samengeknepen billen hebben zitten wachten op deze updates. Voor veel bedrijven is het een kwestie van wel of niet kunnen werken, dat de overheid gerust de boel een tijd uit kan zetten is natuurlijk niet verrassend

Ik denk dat de meeste andere bedrijven dat niet zomaar kunnen.

Zelf heb ik de ervaring met afas, die zijn ook niet uit gegaan. Ondanks de risico's.

ijdod

@Drardollan • 20 januari 2020 16:06

Ik word niet specifiek warm voor de patch. Gaat uiteraard met de nodige tests geïnstalleerd worden, maar nu samengeknepen billen? Niet echt. Er is geen informatie dat de mitigatie niet zou werken.

Artbij @tdlaccount • 20 januari 2020 13:42

Met een snapshot kun je toch gewoon terug. Wij installeren het voor 100+ klanten gewoon in productie. Nu een stuk of 60 gehad en nog geen issues gehad.

JesseJellema @tdlaccount • 20 januari 2020 11:48

En? Hoe hebben jullie gechecked of het werkt?

leuk_he @tdlaccount • 20 januari 2020 17:41

Zoals anderen stellen

https://www.ncsc.nl/actue...ate-advies-patches-citrix

" Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits"

Dus ik neem aan dat jullie de productie servers ook opnieuw aan het deployen/inrichten zijn, zodat die zo snel mogelijk online kunnen als de patch op de test in order blijkt te zijn.

Rolfie

@leuk_he • 20 januari 2020 19:37

Citrix is veel verkeerd neergezet. Het issue betreft alleen de ADC ofwel NetScaler. Alle andere producten van Citrix zijn niet geraakt.

AceAceAce 20 januari 2020 09:58

Bijzonder druk in de trein vanochtend, wellicht door de 'thuiswerkers' die toch naar kantoor moesten (Utrecht -> Amsterdam)

pietje63 @AceAceAce • 20 januari 2020 10:52

Ik vind Citrix-file nu al het woord van het jaar

Cergorach

Beveiliging en antivirus

@pietje63 • 20 januari 2020 12:15

Zou dat niet eerder 'Citrix-Gate' zijn?

egerlich 20 januari 2020 10:29

De tekst "Kort daarna, op advies van het Nationaal Cyber Security Centrum, schakelden bedrijven, overheden en gemeenten hun Citrix-systemen uit voorzorg uit." slaat weer helemaal nergens op.
De Media schreef eerder ook al dat het aan te raden was om "Citrix uit te schakelen" Vind dat er nogal weinig nuance zit in de berichtgeving vanuit de media.

Auteur

TijsZonderH Nieuwscoördinator @egerlich • 20 januari 2020 15:49

Wat klopt daar niet aan? Dit is letterlijk wat het NCSC voorstelde toen bleek dat de mitigatie niet helemaal voldeed. nieuws: Advies NCSC: overweeg Citrix ADC- en Gateway-servers uit te schakelen

ijdod

@TijsZonderH • 20 januari 2020 20:23

En waar vrijdagavond nog een schepje bovenop werd gedaan. De adviezen van NCSC et al werden zeer serieus genomen.

https://www.rijksoverheid...n-ernstige-gevolgen-heeft
https://www.ncsc.nl/actue...len-niet-altijd-effectief

baba2k5 20 januari 2020 09:54

Kleine tikfoutje in het artikel, versie 11.1 ipv 1.1

wisselwerking 20 januari 2020 10:17

Wel balen. In verband met de kinderen heb ik een aantal middagen dat ik thuis werk, maar deze week kan dat dus helaas niet.

T.C @wisselwerking • 20 januari 2020 15:21

Tja bedrijven doen alles om een paar euro te besparen.

Ook ooit over moeten stappen op Citrix, zou 2k per systeem per jaar besparen.
Met de tarieven die voor mij stonden, was na 6 maanden instabiliteit, -22 jaar bespaard.
Dat was een geinige besparing.....

dspolleke 20 januari 2020 13:10

De patches repareren een ernstige kwetsbaarheid in de Citrix-software die samenhangt met de functie om vanaf een afstand thuis te kunnen werken.

sp3c0ps 22 januari 2020 10:06

Shit is al lang opgelost, overheids instanties hebben het ook gewoon weer aan staan...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (136)

Sorteer op:

Weergave: