Citrix maakt beveiligingsupdates voor ADC en Gateway 12.1 en 13.0 beschikbaar

Citrix heeft zijn ADC- en Gateway-software bijgewerkt naar versies 12.1.55.18 en 13.0.47.24. Daarmee moeten ernstige beveiligingslekken in de software verholpen zijn. De updates verschijnen eerder dan aanvankelijk aangekondigd.

De updates voor Citrix Application Delivery Controller en Citrix Gateway, voorheen NetScaler Gateway, zouden aanvankelijk 27 januari en toen 24 januari verschijnen, maar Citrix meldt dat het de fixes voor de 13.0 en 12.1-builds versneld, op 23 januari, heeft vrijgegeven.

Op 19 januari verschenen al de beveiligingsupdates voor de 11.1- en 12.0-builds van ADC en Gateway. Op 24 januari verschijnt de update voor versie 10.5, wat voor Nederland en België betekent dat deze waarschijnlijk vanavond uitkomen. Voor het eveneens lekke Citrix SD-WAN Wanop verschenen 22 januari patches.

Eerder deze week maakte Citrix een 'Indicator of Compromise Scanner for CVE-2019-19781' beschikbaar. Hiermee kunnen organisaties een scan uitvoeren om te achterhalen of hun Citrix-systemen zijn getroffen door aanvallers. Meer dan een maand geleden werd bekend dat de ADC- en Gateway-software veiligheidslekken hadden waardoor op afstand code was uit te voeren. Omdat patches lange tijd uitbleven, waren tienduizenden servers wereldwijd kwetsbaar. In Nederland kregen onder andere gemeenten en ziekenhuizen te maken met aanvallen, waardoor organisaties zich genoodzaakt zagen de servers uit te schakelen.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 24-01-2020 13:06
47 • submitter: lt_cmd_data

24-01-2020 • 13:06

47

Submitter: lt_cmd_data

Lees meer

Duits ziekenhuis raakte via Citrix-lek besmet met ransomware
Duits ziekenhuis raakte via Citrix-lek besmet met ransomware Nieuws van 18 september 2020
Citrix repareert elf nieuwe kwetsbaarheden in ADC en Gateway
Citrix repareert elf nieuwe kwetsbaarheden in ADC en Gateway Nieuws van 7 juli 2020
Zeker 39 Nederlandse servers zijn geïnfecteerd via oud Citrix-lek ondanks patch
Zeker 39 Nederlandse servers zijn geïnfecteerd via oud Citrix-lek ondanks patch Nieuws van 1 juli 2020
Privacywaakhond: 29 bedrijven melden mogelijk datalek door Citrix-kwetsbaarheid
Privacywaakhond: 29 bedrijven melden mogelijk datalek door Citrix-kwetsbaarheid Nieuws van 22 januari 2020
Citrix brengt patch uit voor sommige kwetsbare ADC's en Gateway
Citrix brengt patch uit voor sommige kwetsbare ADC's en Gateway Nieuws van 20 januari 2020
Meeste Nederlandse ministeries hebben Citrix-servers uitgezet
Meeste Nederlandse ministeries hebben Citrix-servers uitgezet Nieuws van 19 januari 2020
Bedrijven, overheden en gemeenten schakelen Citrix-systemen uit voorzorg uit
Bedrijven, overheden en gemeenten schakelen Citrix-systemen uit voorzorg uit Nieuws van 17 januari 2020
Advies NCSC: overweeg Citrix ADC- en Gateway-servers uit te schakelen
Advies NCSC: overweeg Citrix ADC- en Gateway-servers uit te schakelen Nieuws van 16 januari 2020
Ook gemeente Zutphen slachtoffer van Citrix-kwetsbaarheid
Ook gemeente Zutphen slachtoffer van Citrix-kwetsbaarheid Nieuws van 15 januari 2020
Ziekenhuis in Leeuwarden staakt extern dataverkeer tijdelijk wegens hackpoging
Ziekenhuis in Leeuwarden staakt extern dataverkeer tijdelijk wegens hackpoging Nieuws van 15 januari 2020
713 Citrix-servers in Nederland zijn kwetsbaar voor remote code execution
713 Citrix-servers in Nederland zijn kwetsbaar voor remote code execution Nieuws van 13 januari 2020
'Citrix-kwetsbaarheid vormt risico voor netwerken van 80.000 bedrijven'
'Citrix-kwetsbaarheid vormt risico voor netwerken van 80.000 bedrijven' Nieuws van 23 december 2019
Citrix: hackers hebben toegang gekregen tot intern netwerk
Citrix: hackers hebben toegang gekregen tot intern netwerk Nieuws van 10 maart 2019
Meer producten en artikelen
Beveiliging en antivirus Citrix

Reacties (47)

-Moderatie-faq
47
47
22
4
1
9
Wijzig sortering
Zodiac 24 januari 2020 13:13
Ouch... Geen enkele beheerder die zit te springen om een update door te voeren op een vrijdag (of zelfs in het weekend). Zeker een Netscaler, waarbij het update proces erg leuk is (not).
GMJansen @Zodiac24 januari 2020 14:04
Wij hebben onze beide clusters inmiddels geupgrade.
Zelf had ik het zelfs nog nooit gedaan, maar viel reuze mee.

Het was - met release notes lezen erbij- een uurtje werk, incl backups maken.
De upgrade is 1 commando, 5 min wachten, een force failover en dan nog eens 5min voor de andere.

Impact: de VDI's van thuiswerkers stotterden enkele seconden, apps die via de loadbalancers lopen, bevroren ook iets van 4 sec. En dat voor een grote omgeving.
Beide - voor deze ene keer- zelfs overdag uitgevoerd.
Maw. Impact was zeer acceptabel, de meeste gebruikers zullen het waarschijnlijk niet eens gemerkt hebben!

Dus hoezo veel werk?

Verder hebben we het bash check script van FireEye van 2 dagen geleden uitgevoerd op alle nodes.

Aanrader voor alle beheerders en consultants:

Dit uitgebreide script checkt op zéér
veel dingen, die bij elkaar een vrijwel sluitende indicatie geven of je Netscaler gecompromiteerd is (of was!!):
vreemde XML files, foute entries in de crontab, bewijs in de belangrijkste logfiles, etc.

Download de bashfile
https://github.com/citrix...er-CVE-2019-19781-v1.0.sh
Zet 'm met winscp in /tmp ofzo
(De getoonde zipfile op github hoef je niet te downloaden, de inhoud daarvan zit in het bash script verwerkt, maar de werking is identiek.
Login met ssh als nsroot of beheerder met dezelfde rechten.
Shell
en voer de het script uit:
cd /tmp
bash ./ioc-scanner-CVE-2019-19781-v1.0.sh > "/tmp/results-$(date).txt"

Met -v krijg je ook alle checks te zien.
bash ./ioc-scanner-CVE-2019-19781-v1.0.sh -v > "/tmp/results-$(date).txt"

Het script draait enkele seconden en laat in de laatste regel zien dat alles in orde is (hoop ik tenminste voor je :)

Hierbij de volledige link van Citrix ernaartoe, dus legitiem mocht je FireEye niet kennen :)

https://www.citrix.com/bl...-tool-for-cve-2019-19781/

Wij hadden de mitigerende aanpassingen gelukkig al voor kerst gedaan, maar hebben de systemen wel flink gemonitord en toch online gelaten totdat we de upgrade van citrix deze week geïnstalleerd hadden.
Dat bleek afdoende, deze test was dan ook gelukkig negatief.
Tmaster @GMJansen24 januari 2020 14:09
Wij hadden last na onze upgrade dat het default logon pad aangepast was en dat je werd verwezen naar /logon/logonpoint/index.html waarbij index.html helemaal niet bestaat. Een fuckup van Citrix. We hebben een responder policy gemaakt dat je in 1 directory omhoog gaat
The Realone @GMJansen24 januari 2020 14:12
Hoezo veel werk? Omdat er gelukkig best wat zelf-respecterende bedrijvende zijn die updates testen voordat je ze in productie over alle servers uitrolt. Op het knopje drukken en 5 minuten wachten is inderdaad niet veel werk. Waarborgen dat je geen hele omgeving plat duwt met die ene druk op het knopje is een andere verhaal.

Dus, ongeacht hoe dat bij jullie geregeld is, bestaat het uitrollen van een patch/update niet enkel uit het installeren zelf. Dat is vaak het minste werk.
GMJansen @The Realone24 januari 2020 14:23
Zeker, geheel mee eens!
Dat aspect had ik in je post gemist.

Ook wat Tmaster al terecht aangaf.
Dat voorkom je door testen, of achteraf maar ontdekken en fixen.

We kunnen wel stellen dat deze upgrade een iets andere urgentie had, waardoor niet iedereen alles netjes door de OTA straat kon halen (die wij als eindgebruiker/klant) overigens niet hebben.

Aanvulling daarop:
Onze werkwijze was om na de force failover eerst even aan te zien of alles bleef werken en of er klachten kwamen.
Daarna de andere node pas. Terug gaan gaat op die manier dan ook erg simpel en snel.

Dat is voor ons de enige manier van testen (helaas?!)
Aan de andere kant is het bij de netscalers wel erg fijn dat het zo kan!
Zelfs niet alle enterprise apparatuur ondersteunen een upgrade die je halverwege kunt 'pauzeren'.

[Reactie gewijzigd door GMJansen op 22 juli 2024 22:25]

maarud @Zodiac24 januari 2020 14:03
Klik op upgrade -> upload de tar.gz, reboot aanvinken -> klaar. Upgrade was binnen 5 minuutjes gedaan.
Paul @maarud24 januari 2020 14:07
Ja, en een USB harddisk van de Mediamarkt kost maar € 100 dus waarom moet dat SAN tonnen kosten?

Wij hebben 16 ADC's, 8 HA pairs, 100+ VIPs (en dan zijn we nog maar een kleintje...), en alles moet netjes gedaan en getest worden. Nog los van de overlast voor de gebruikers omdat persistency tussen firmware versies niet altijd goed werkt.

Allemaal geen reden om het niet te doen, maar "5 minuutjes" is wel bijzonder optimistisch...
Zackito @Paul24 januari 2020 14:39
5 minuutjes per ADC is wel mogelijk toch O-)
Luchtbakker @Paul24 januari 2020 18:17
Ja, en een USB harddisk van de Mediamarkt kost maar € 100 dus waarom moet dat SAN tonnen kosten?
Iets met levensduur, snelheid, kwaliteit?
mjl @Luchtbakker25 januari 2020 10:24
Iets met de CIA... confidentiality, integrity and Availability.

Zomaar een upgrade doe je inderdaad niet even in 5 minuten op een enterprise omgeving maar een versnelde change procedure moet dit in een korte tijd zeker mogelijk maken. En dit is op een vrijdag, ideaal om dan in een weekend te kunnen patchen en testen, hoort nu eenmaal bij je job (en zo niet dan heeft je baas je een verkeerde werkomschrijving gegeven bij in dienst trending, met een beetje hart voor de zaak en interesse in je vakgebied zou ik het gewoon een leuke uitdaging vinden en onderdeel van de functie.
djunicron @Zodiac24 januari 2020 13:33
Haha, daarom riepen beheerders massaal hier in de regio dat ze als Citrix het waar maakte, ze donderdag en vrijdag nodig hadden om te testen en ze pas uiterlijk maandag konden gaan testen.

Realiteit is dat ze gewoon weekend willen vieren en liever niet als eerste aan de slag willen gaan zodat anderen de kinken in de kabel eruit halen.
thomasv @djunicron24 januari 2020 15:31
De realiteit is dat je geen uitrol op een vrijdag wilt doen van wat dan ook om te voorkomen dat men in het weekend dure uren moet draaien om het een en ander glad te strijken wanneer zaken niet gaan zoals gepland. Ik vind het persoonlijk altijd een heerlijke nuchtere insteek hebben. Releases kunnen best 's avonds doordeweeks mits van tevoren getest, maar niet op een vrijdag.

Niet uitgeruste of gefrustreerde mensen in het weekend aan het werk zetten heeft veelal ook als gevolg dat de kans op fouten in het proces toenemen. Zonde om dat risico ook nog eens te lopen.
djunicron @thomasv25 januari 2020 00:38
Oh ik snap de gedachte erachter ook zeker wel...
Ik heb ook wel eens een stuk van een branch van mijn team naar productie zien gaan zonder alle benodigdheden terwijl het voor 85% af was op vrijdag 17:45. Dat was toen ook dependancies fixen en de laatste stukken toch maar helemaal afmaken...

Punt met Citrix, zeker in de Zorg sector, is dat het betekend dat het echt mensen levens in de weg zit. Die arts die opgeroepen moet worden, die nu niet in het EPD kan kijken dit weekend, vermoeid besluit niet naar werkt te reizen en de volgende status doorgebeld te krijgen, kan een onnodig overlijden van b.v. een kind betekenen.

Dure uren is natuurlijk ook lang niet overal van toepassing. In deze zelfde zorg sector is het uren voor uren b.v. Voor een bank is het naar mijn mening logisch het nooit op vrijdag te doen, zelfde voor de meeste ICT bedrijven, scholen, etc. Maar voor publieke sector, infrastructuur, zorg en andere continue bedrijven ligt dat toch even wat anders naar mijn mening.
TheMak @djunicron25 januari 2020 23:21
Voor bank: Vrijdag: papierwerk+op acceptatie uitrollen+controleren+papierwerk. In het weekend op productie.
dasiro @Zodiac24 januari 2020 13:57
iedereen zit hier al bijna een maand op te wachten en zijn gebruikers aan het zeiken dat ze niet kunnen werken. Die lezen dit soort nieuws jammer genoeg ook en zouden extra kwaad worden
DigitalExorcist @dasiro24 januari 2020 14:37
Biedt je gebruikers 3 keuzes:

- Snel
- Goed
- Goedkoop

En zeg erbij dat ze twéé van de drie mogen kiezen.
Brummetje @DigitalExorcist24 januari 2020 15:09
Snel en goed dus.... en dan verwachten ze dus dat het binnen 5 minuten klaar is en goed werkt...
DigitalExorcist @Brummetje24 januari 2020 15:11
Dat kan, maar dat kost enorm veel geld. Prima toch? Dan huur je een bak IT'ers in, geld speelt geen rol, moet je zien hoe snel je geüpdated bent.

"Hey jongens (m/v), ik bied jullie 1000 euro per uur om nu direct ff wat dingetjes te patchen, wie wil?"

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 22:25]

dasiro @DigitalExorcist24 januari 2020 16:29
je bent veel te gul, vaak mag je al blij zijn dat je 1 van die 3 kan aanbieden voor wat er gevraagd wordt
DigitalExorcist @dasiro24 januari 2020 16:37
Nee, de klant krijgt de keuze. Ze mógen er 2 kiezen, maar als ze er maar 1 kiezen hebben ze vooral zichzelf ermee.

Het kan snel en goed, maar dat is duur.
Het kan goed en goedkoop maar dan duurt het een half jaar
Het kan goedkoop en snel maar dan is de kwaliteit ruk.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 22:25]

dasiro @DigitalExorcist24 januari 2020 17:38
1. sommige dingen kan je niet sneller doen door er meer geld tegenaan te gooien
2. sommige dingen hebben een vaste kost waar je niet rond kan
3. er zijn situaties waar er geen goede oplossing is en je moet zeggen: dit gaat niet
DigitalExorcist @dasiro24 januari 2020 19:00
De meeste dingen kun je veel sneller doen door ze uit te besteden en dat kost een hoop geld.
dasiro @DigitalExorcist24 januari 2020 21:53
hangt er maar van af in welke sector je bedrijf werkzaam is
Knetterhard @Zodiac24 januari 2020 13:16
In dit geval zal dat wel anders zijn lijkt mij....
Anoniem: 426269 @Zodiac24 januari 2020 13:16
Niet zo'n ramp als het uurtje-factuurtje voor 200 euro per uur is, toch? :)
Anoniem: 100047 @Anoniem: 42626924 januari 2020 13:19
Tweehonderd per uur? Neemt die beheerder gouden schoenen mee?
wifikabelhuren @Anoniem: 10004724 januari 2020 13:21
200 p/u is niet duur hoor. Ik heb voor mijn klussen wel eens 375 gevraagd.
draadloos @wifikabelhuren24 januari 2020 13:34
Die tarieven gaan natuurlijk helemaal nergens meer over.
CyBeRSPiN @draadloos24 januari 2020 13:38
Het alom bekende: "knopje indrukken: 5 euro, de kennis en ervaring om te weten op welk knopje je moet drukken: 500 euro".

PS: Haha "draadloos" en "wifikabelhuren"
Fermion @CyBeRSPiN24 januari 2020 13:45
Precies 👍🏼
DigitalExorcist @draadloos24 januari 2020 14:39
Jawel hoor. Als verkoper begin je met 100 per uur, knippert de klant niet met z'n ogen? Dan ex voorrijkosten. Knippert ie nog niet? Starttarief van 1 dagdeel. Knippert ie nog steeds niet? Ex btw. Knippert de klant met z'n ogen dan moet je stoppen en akkoord gaan.
jp @DigitalExorcist25 januari 2020 22:57
Ex btw. Knippert de klant met z'n ogen dan moet je stoppen en akkoord gaan.
Ex BTW is het noemen niet waard, ik heb nog nooit in zakelijke omgeving meegemaakt dat iemand het over In BTW prijzen had. Voor de rest heb je goeie kans dat iemand je onbewogen aanhoort en bij de derde prijsverhoging je lachend de deur wijst.
DigitalExorcist @jp26 januari 2020 08:25
Het gaat om het idee, mag natuurlijk ook wat anders zijn. En mag natuurlijk ook particuliere verkoop zijn, ik bedoelde niet specifiek b2b.
Anoniem: 100047 @wifikabelhuren24 januari 2020 14:27
Dan wilden ze je wel heel graag hebben. Bij mijn bedrijf kom je boven de €125 niet eens over de drempel.
wifikabelhuren @Anoniem: 10004724 januari 2020 14:43
Tsja kennis en ervaring is vaak onbetaalbaar ;) En € 375 p/u viel nog mee hoor. Bedrijf verloor meer dan het hondervoudige daardoor, dus die 375 was snel voor hun terug verdient.
Anoniem: 1322 @Anoniem: 10004724 januari 2020 15:17
Dan hebben ze dus hele beroepsgroepen niet over de vloer gehad? Nog nooit een advocaat gezien?
Binnen de IT is het in ieder geval simpel: You pay peanuts, you get monkeys.

Als jij een stagiaire over de vloer wilt hebben om je netscaler te fixen, prima. Als die daarna in puin ligt en er een Citrix consultant langs moet komen om dat ding opnieuw in te richten, zuigen sommige bedrijven je helemaal leeg... Dan is €125,- euro je minste zorgen...
Andy Wachelder @Anoniem: 132224 januari 2020 15:41
Meestal is het zo dat je betaald voor een consultant en een stagiaire junior consultant over de vloer krijgt die dan vervolgens zijn GSM helemaal leeg belt om "aanvullende info"op te vragen...
Anoniem: 100047 @Andy Wachelder24 januari 2020 17:53
Erger nog: je krijgt ‘consultants’ voor SAP implementatie van een groot softwarebedrijf in het westen van het land. Je krijgt een aantal van die pakjes binnen en de eerste vraag die ze stellen is of ze nog ‘even’ een opleiding kunnen krijgen. Oja: wel op onze kosten.
foulonc @Anoniem: 10004724 januari 2020 19:11
@Anoniem: 100047 Ik vermoed dat je niet de enige bent die over die mannen hetzelfde verhaal kan vertellen. :)
Anoniem: 100047 @Anoniem: 132224 januari 2020 17:12
Sinds wanneer hebben wij het over advocaten als ik een beheerder wil hebben? €125 Is een gangbare prijs bij dit bedrijf en daar krijgen wij geen monkeys voor.
Anoniem: 426269 @Anoniem: 10004724 januari 2020 13:22
Tsja, als je ziet wat een freelance IT manager per uur rekent (EUR 130,-) voor alleen maar slap ouwehoeren (en aan de telefoon hangt omdat zijn mail het niet doet want hij krijgt een bericht terug "mailbox unknown"), dan valt dat nog mee, als die beheerder daadwerkelijk wat kan. :)
!GN!T!ON @Anoniem: 42626924 januari 2020 13:38
Ben zelf destijds als IT admin voor dat uurbedrag (135) gedatacheerd. De ook externe 'IT' -manager zat veel hoger :p Je opmerking over z'n mailbox klopt wel 100%, (bijna) geen IT kennis aanwezig :+
Toontje_78 @!GN!T!ON24 januari 2020 14:28
Bij managers is inhoudelijke kennis optioneel; Beter bewust geen kennis dan onbewust halve en verwaterde kennis.
!GN!T!ON @Toontje_7824 januari 2020 17:36
Daar ben ik het niet volledig mee eens. Een zeker level van basiskennis op een aantal it-disciplines is zoveel beter dan iemand dan alleen de business/management kant kent.
Toontje_78 @!GN!T!ON25 januari 2020 12:53
Het is natuurlijk een tikje gechargeerd.

Maar is niet alleen IT, is in ieder discipline.
m3gA 24 januari 2020 13:12
https://twitter.com/QW5kcmV3/status/1220408977940516867

Ondertussen wordt het lek al actief misbruikt om ransomware te verspreiden.
Pas_PC 24 januari 2020 18:19
Bij me vriendin op der werk[Verzorging huis voor oudere] ligt Citrix er al sinds zondagavond uit. Geen idee welke versie ze gebruiken. Maar ze kunnen amper op een normale manier werken omdat tegenwoordig alles digitaal is. Alarmen/dossiers

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq