Citrix waarschuwt voor apparaatovernames door gevaarlijk lek in ADC en Gateway

Citrix roept klanten op een belangrijke securitypatch te installeren voor Citrix ADC en Citrix Gateway. Met die kwetsbaarheden is het mogelijk om toegang te krijgen tot een apparaat en dat over te nemen. Ook externe beveiligingsonderzoekers waarschuwen voor de bug.

Citrix schrijft in een advisory dat er drie kwetsbaarheden zitten in Application Delivery Controller, of ADC, en Gateway. Door die drie kwetsbaarheden als een chain te gebruiken, is het mogelijk om op afstand een apparaat over te nemen. De bugs zijn alleen uit te buiten op apparaten die als Gateway zijn ingesteld, dus die de vpn-functie van de Gateway-software gebruiken of als een ICA-proxy zijn ingesteld. Dat is een veelgebruikte functie van Gateway; veel klanten hebben de software zo ingericht. Citrix-clouddiensten zijn niet kwetsbaar, omdat de bugs daar al door Citrix zijn opgelost.

De kwetsbaarheden zitten in de meeste versies van na 12.1. Dat zijn de volgende versies:

  • Citrix ADC en Citrix Gateway 13.1 vóór 13.1-33.47
  • Citrix ADC en Citrix Gateway 13.0 vóór 13.0-88.12
  • Citrix ADC en Citrix Gateway 12.1 vóór 12.1.65.21
  • Citrix ADC 12.1-FIPS vóór 12.1-55.289
  • Citrix ADC 12.1-NDcPP vóór 12.1-55.289

Citrix zegt dat versies vóór 12.1 al end-of-life zijn. Omdat die geen beveiligingsupdates meer krijgen, zegt Citrix niet of die versies kwetsbaar zijn voor deze specifieke bug. Het bedrijf raadt klanten daarvan aan de software in ieder geval naar een wel ondersteunde versie te upgraden.

In ADC en Gateway zitten drie kwetsbaarheden. De eerste daarvan krijgt een Critical-rating mee omdat die het mogelijk maakt om op afstand toegang te krijgen tot een Gateway-apparaat. Ook met de andere twee kwetsbaarheden kan een apparaat mogelijk worden overgenomen, al zijn die ingewikkelder om in de praktijk uit te buiten omdat er bijvoorbeeld een phishingaanval bij nodig is.

CVE CWE Omschrijving Benodigdheden
CVE-2022-27510 CWE-288
Authenticatieomzeiling via alternatief path		 Toegang op afstand met Gateway-gebruikersrechten Apparaat moet als vpn-Gateway geconfigureerd zijn
CVE-2022-27513 CWE-345
Onvoldoende verificatie van data-authenticiteit		 Desktopovername op afstand via phishingaanval Apparaat moet als vpn-Gateway geconfigureerd zijn en RDP-proxy moet zijn ingeschakeld
CVE-2022-27516 CWE-693
Failure van beschermingsmechanisme		 Omzeilen van gebruikerslogin via brute-force Apparaat moet als vpn-Gateway of AAA-virtual server geconfigureerd zijn en beschermingsfunctie Max Login Attempts moet zijn ingeschakeld

Naast Citrix waarschuwen ook onafhankelijke beveiligingsexperts en -instanties voor de kwetsbaarheden. Het Nederlands Nationaal Cyber Security Centrum heeft een advisory uitgebracht waarin het voor de bug waarschuwt. In 2020 werden ook nog ernstige kwetsbaarheden ontdekt in Citrix ADC en Gateway. Daardoor was het mogelijk apparaten met ransomware te infecteren. Omdat de software toen veel werd gebruikt door thuiswerkers, konden veel werknemers en ambtenaren alleen nog op kantoor werken. Daardoor ontstond het populaire woord Citrix-file, omdat het drukker op de weg werd. De Citrix-kwetsbaarheden werden lang niet door iedereen direct opgelost en behoorden in 2020 tot de meest aangevallen systemen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 09-11-2022 10:28
32 • submitter: lt_cmd_data

09-11-2022 • 10:28

32

Submitter: lt_cmd_data

Lees meer

'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit'
'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit' Nieuws van 13 november 2024
Fox-IT: 1800 systemen met NetScaler ADC bevatten nog backdoor, ook in Benelux
Fox-IT: 1800 systemen met NetScaler ADC bevatten nog backdoor, ook in Benelux Nieuws van 15 augustus 2023
Citrix waarschuwt voor kritieke kwetsbaarheid in NetScaler ADC en Gateway
Citrix waarschuwt voor kritieke kwetsbaarheid in NetScaler ADC en Gateway Nieuws van 19 juli 2023
Onderzoeksraad: maak verantwoording over beheersing digitale risico's verplicht
Onderzoeksraad: maak verantwoording over beheersing digitale risico's verplicht Nieuws van 16 december 2021
CISA: kwetsbaarheden in Citrix en vpn's werden sinds 2020 vaakst aangevallen
CISA: kwetsbaarheden in Citrix en vpn's werden sinds 2020 vaakst aangevallen Nieuws van 29 juli 2021
Rekenkamer: thuiswerkende ambtenaren communiceren vaak via onveilige tools
Rekenkamer: thuiswerkende ambtenaren communiceren vaak via onveilige tools Nieuws van 2 november 2020
Duits ziekenhuis raakte via Citrix-lek besmet met ransomware
Duits ziekenhuis raakte via Citrix-lek besmet met ransomware Nieuws van 18 september 2020
Meer producten en artikelen
Beveiliging en antivirus Citrix Citrix ADC Citrix Gateway

Reacties (32)

-Moderatie-faq
32
32
17
2
0
11
Wijzig sortering
AddictIT 9 november 2022 12:33
Voor alle duidelijkheid, het gaat niet over mogelijke overname van de NetScaler appliances zelf!

Het betreft impersonation/bypass van de authenticatie om user sessies over te nemen.
Belangrijk verschil toch wel vergeleken met de CVE-geschiedenis van eind 2019/begin 2020.
lolgast 9 november 2022 10:30
We werden gisteren, direct achter de mail aan, al gebeld door onze contactpersoon van Citrix. Vanmorgen alles bijgewerkt :)
Razwer @lolgast9 november 2022 10:41
Citrix zit er idd bovenop gelukkig. Wij kregen gisteren ook notificatie. Gelukkig is een ADC firmware upgrade relatief pijnloos en minimaal qua downtijd.
CyberTijn @Razwer10 november 2022 22:08
Als je mazzel hebt. Op reddit regent het klachten van engineers die tegen problemen aan lopen en beroerde ondersteuning krijgen vanuit Citrix.
Ook ik liep vanavond bij een upgrade van een cluster tegen een bug aan dat een SSL profile configuratie om onbekende reden om zeep was geholpen.
Flappie 9 november 2022 12:51
Ik vind het artikel erg onduidelijk. Ook het artikel van Citrix zelf trouwens.
In de tabel staat dat in alle gevallen de appliance als "vpn-Gateway" geconfigureerd moet zijn.

Maar in de tekst erboven staat ook "of als een ICA-proxy zijn ingesteld".

Dus wat is het nu? Wat zijn de kwetsbare situaties?
AddictIT @Flappie9 november 2022 13:37
Zodra je AAA / ICA Proxy / RDP Proxy / SSLVPN gebruikt, ben je kwetsbaar.

De naamgeving stemt voor uit het feit dat je een VPN vserver of een AAA vserver aanmaakt in de configuratie. Maar dat maakt het des te verwarrender.

Er zijn al meerdere stemmen opgegaan om dit duidelijker te verwoorden, jammer genoeg niet met het gewenste resultaat tot nu toe.
JeroenH 9 november 2022 11:02
Dit doet me denken aan januari 2020, toen een kwetsbaarheid in Citrix veel bedrijven er toe noopte hun Citrix uit te zetten (of in ieder geval af te schermen van het internet). Het gevolg was dat veel meer mensen met de auto naar hun werk gingen, met als gevolg lange files. De media bedachten voor dit fenomeen het woord "Citrix-file" en ik was er destijds van overtuigd dat we daarmee het woord van het jaar wel te pakken hadden.

Niemand wist toen natuurlijk dat 2020 wat... andere nieuwswaardige... zaken zou produceren, waardoor een heel ander woord woord van het jaar werd.
sOid @JeroenH9 november 2022 11:13
Jammer dat Tweakers nog zo'n beperkt moddingsysteem heeft. Feitelijk is dit offtopic, maar ik vind het wel een leuk weetje dus wil ergens op een 'Like'-knopje klikken. Dan maar zo ;)
AuteurTijsZonderH Nieuwscoördinator @sOid9 november 2022 11:15
Stond natuurlijk ook gewoon in het artikel he ;)
In 2020 werden ook nog ernstige kwetsbaarheden ontdekt in Citrix ADC en Gateway. Daardoor was het mogelijk apparaten met ransomware te infecteren. Omdat de software toen veel werd gebruikt door thuiswerkers, konden veel werknemers en ambtenaren alleen nog op kantoor werken. Daardoor ontstond het populaire woord Citrix-file, omdat het drukker op de weg werd
JeroenH @TijsZonderH9 november 2022 12:05
Dat had ik dan niet gespot. Stond dat er bij het net plaatsen van het artikel echt daadwerkelijk? Bij comments zie je het als ze worden gewijzigd, maar ik weet niet of dat bij artikelen ook zo is.

Ik ga er van uit dat het er al stond hoor, verkeerd/onvolledig lezen is zo'n beetje de story of my life ;)
AuteurTijsZonderH Nieuwscoördinator @JeroenH9 november 2022 12:31
Ja, maar onder de tabel en dan weet ik uit ervaring dat je het al snel over het hoofd ziet
William_H @TijsZonderH9 november 2022 12:52
Dat laat ook precies zien waarom je niet moet werken met Citrix oplossingen. Het is een single point of failure, en daarnaast overbodig.
Rolfie @William_H9 november 2022 14:11
Waarom?

Hetzelfde kan je zeggen voor avd of horizon.

Maar je kunt ook geen netscaler nemen, f5 had vroeger ook de mogelijkheid bijvoorbeeld.
Of gewoon citrix cloud nemen, heb je zelf ook geen netscaler meer nodig.

Maar de netscaler is een heel mooi product, als je er mee werkt.
Razwer @Rolfie9 november 2022 15:36
Het is idd een heel mooi product, maar zoals elk product wat op je perimeter hangt en internet exposed is, 1 critical vulnerability en je bent in de aap gelogeerd. Bij Netscaler is dit alweer strike 2.
Interessant genoeg wederom in de VPN componenten.
(Wederom) een grote case voor ZTNA producten.

[Reactie gewijzigd door Razwer op 25 juli 2024 08:53]

William_H @Razwer9 november 2022 16:16
(Wederom) een grote case voor ZTNA.
Precies.
Er wordt hierboven weer lekker gemind en geplusd volgens gevoelens en niet volgens de (nieuwe) regels. Ik probeer toch echt op de feiten te blijven in mijn reactie, maar blijkbaar mag je niet tegen Citrix oplossingen zijn...

Maar feit blijft dat Zero Trust een beter uitgangspunt heeft dan een SPOF als Citrix. Daar is al genoeg over geschreven en staat genoeg over in de geschiedenisboeken.
Rolfie @William_H9 november 2022 18:05
Citrix is alleen vrij breed qua techniek. Citrix bied ook ZTNA aan al oplossing.

Je kunt Citrix DAAS ook via ZNTA technieken aanbieden.

Netscaler, is bijvoorbeeld ook een heel veel gebruikt product als... load balancer in je infrastructuur. Microsoft gebruikt dit bijvoorbeeld ook in Azure al een load balancer product.

ZNTA vs Citrix DAAS, kunnen elkaar ook aanvullen. Iets met legacy bijvoorbeeld of gewoon bepaald type applicaties, SAPGUi?
Razwer @Rolfie9 november 2022 18:25
Je slaat naar mijn mening de spijker op zijn kop.
Gezien de meerdere vulnerabilities heeft Netscaler als edge/perimeter oplossing zijn tijd gehad maar is een prima loadbalancer (al zijn er goedkopere oplossingen). Microsoft heeft deels hun TMG technologie aan Citrix verkocht toen TMG EOL ging en daarom gebruikt Microsoft Netscaler.
AddictIT @Razwer9 november 2022 20:23
Nou,

ik kan je alvast vertellen dat er 0% Microsoft TMG aanwezig is in NetScaler.
Welke deal ze gesloten hebben indertijd weet ik niet, maar het is wel zo dat Microsoft toen NetScaler als alternatief naar voor schoof.


Ik heb inderdaad "belangen" in verband met NetScaler, maar om te zeggen dat het zijn tijd gehad heeft, is ook kort door de bocht.

NetScaler als load-balancer/security appliance heeft nog steeds weinig gelijken in de markt als het neerkomt op reverse proxy en alle bijhorende security features zoals een application firewall. Enige echte concurrenten hierbij zijn F5 Big-IP en Imperva. Het halve internet gaat bij wijze van spreken vroeg of laat door een NetScaler. In de wereld van containers moeten ze nog een hele inhaalslag maken, maar dat heeft vooral te maken met marketing enerzijds, en merknaam "Citrix" die eraan verbonden was tot voor kort. Gelukkig is NetScaler nu een aparte business unit geworden, en hebben ze eindelijk terug zelf de touwtjes in handen voor de toekomst.


Het aloude probleem is dat (Citrix) NetScaler (ADC) niet hetzelfde is als Citrix Gateway.
Citrix Gateway is namelijk een aparte module aanwezig op een NetScaler appliance, die dienst doet als toegang naar een Citrix XenApp/XenDesktop/CVAD (geef het kind gerust nog een andere naam). Het is veelal die module waar er problemen in naar voor komen (zoals ook nu weer), onder andere omdat Gateway eigenlijk een module is die niet volledig geïntegreerd is in de architectuur van NetScaler. Daarenboven blijft Gateway "jammer genoeg" de enige mogelijkheid om remote toegang te geven tot een dergelijke omgeving zonder terug te vallen op VPN-technologie. Wat mij betreft zou ZTNA perfect aan kunnen sluiten op dit concept wanneer je nog steeds van CVAD/AVD/Horizon gebruik moet maken om toegang te krijgen tot applicaties, omdat je op deze manier je security veel flexibeler en dynamischer kan inregelen.

Mijn kort-door-de-bocht reactie kwam met name op het feit dat mensen al jaren roepen (en blijven roepen) dat Citrix achterhaald/overbodig is, en al zeker dat het een SPOF is. Sommige applicaties kan je nu eenmaal niet op andere manier veilig aanbieden. Dat de use case een pak kleiner geworden is, helemaal akkoord (en maar goed ook).

SPOF in welke zin? Single vendor? Single appliance?
Single vendor heb je altijd, ook bij ZTNA (bijvoorbeeld keuze voor zScaler of Fortinet).
Single point of failure vanuit infrastructuur bekeken? Dan doe je heel veel dingen verkeerd, want je kan zoiets perfect redundant uitvoeren.
Waar het op neerkomt is dat elke keuze met zijn eigen complexiteiten te maken heeft.
William_H @AddictIT9 november 2022 21:37
Ik ging er vooral zo gestrekt op in, omdat (met name bij) bestuurlijke organisaties Citrix nog steeds zien als een perimeter defense. En zoals je hebt kunnen horen met de bewindslieden die hun werkmail naar hun privémail sturen, ook niet de hele tijd willen inloggen op een Citrix omgeving om zoiets simpels als mail te kunnen bekijken. En als de Gateway, of noem het maar, er even uitligt, dat het halve land in de auto moet stappen om te kunnen werken. Dat is wat ik bedoel met SPOF (ook in manier van denken van diegene die het heeft geïmplementeerd), en daar schiet ik op.
Er is vast redunantie, maar we zien die op zulke momenten niet of het is ruk geïmplementeerd. En als het voor de gemiddelde gebruiker niet prettig werkt, is het geen goede beveiliging in mijn ogen, want dan gaan die mensen lopen "hacken" , zoals mail doorsturen, of de auto instappen.
AddictIT @William_H9 november 2022 21:48
Ja, met defense heeft het weinig te maken inderdaad 😂

Pragmatische aanpak met upgrades is moeilijk met al die mensen die zich opeens belangrijk willen voelen (en uit angst hun job te verliezen) domme beslissingen gaan nemen. Doet vaker meer kwaad dan de werkelijke issues.

Kwam ik in 2019 ook helemaal gek van, ondanks degelijke argumentatie naar die organisaties.


Vraag me wel af of dat een switch in tech dat organisatorische probleem gaat oplossen :X
Razwer @AddictIT9 november 2022 22:35
Goed uitgelegd en schijnbaar zitten we meer op 1 lijn dan initieel gedacht :)

Overigens doen Microsoft en Citrix al decennia aan patent sharing op diverse fronten. De "TMG deal" om Netscaler naar voren te schuiven zat op de achtergrond een grote tas met IP bij. Helaas is daar zo 123 niet iets over te vinden op Google maar een oud collega van mij werkte toentertijd bij Microsoft in het TMG team als solutions architect. In onze tijd als collega's heeft hij veel ervaringen gedeeld waaronder het opdoeken van TMG en de transitie naar Netscaler.
Ik snap dat dit een "trust me bro" verhaal is, maar meer kan ik er niet van maken.

[Reactie gewijzigd door Razwer op 25 juli 2024 08:53]

Rolfie @Razwer10 november 2022 13:33
Hetzelfde kan je zeggen over PaloAlto of Fortinet of Cisco of Microsoft Of Apache......
AddictIT @William_H9 november 2022 16:54
Citrix/AVD/Horizon/... sluiten ZTNA niet uit en omgekeerd.
Het is niet omdat je de concepten van ZTNA gaat toepassen, dat je niet eerst een andere methodiek in kan zetten om toegang verder te beperken/reguleren. Zeggen dat een dergelijke omgeving simpel te vervangen valt door ZTNA is gewoon onzin. Genoeg zaken die je niet op dergelijke manier wil (laat staan __kan__) aanbieden.

ZTNA is gewoon het nieuwe buzz-word waar je eigenlijk gewoon aangeeft dat je eindelijk wat gaat doen met netwerk-segmentatie en gebruikers enkel de rechten geven die ze nodig hebben.
Dat kunnen we al jaren, met als grote struikelblok het beheer van al die regeltjes.

Vroeg of laat loop je daar ook met ZTNA tegenaan, en vendoren willen natuurlijk gewoon verkopen.
Razwer @AddictIT9 november 2022 17:27
Zeggen dat een dergelijke omgeving simpel te vervangen valt door ZTNA is gewoon onzin
ZTNA is de toegang tot.. Daar staat de A in ZTNA voor. Nogal wiedes dat je een oplossing als Horizon/Citrix, etc. er niet mee kan vervangen. Wel de manier van benaderen en mogelijk de authenticatie tot.
ZTNA is gewoon het nieuwe buzz-word waar je eigenlijk gewoon aangeeft dat je eindelijk wat gaat doen met netwerk-segmentatie en gebruikers enkel de rechten geven die ze nodig hebben.
Dat kunnen we al jaren, met als grote struikelblok het beheer van al die regeltjes.
Als je ZTNA een "buzz word" noemt begrijp je de technologie niet helemaal die er achter zit. Gelukkig motiveer je wat je zegt en blijkt daar ook uit dat je het concept niet volledig begrijpt. Dat is niet erg, maar roeptoeteren doet je geen goed. Toegegeven, de terminologie wordt zowel gebruikt om het Zero Trust model te benoemen danwel een productlijn binnen SASE. Gezien ik refereerde aan de VPN context is het logisch dat ik aan de productlijn refereerde. Natuurlijk is dat alleen logisch als je kennis van zaken hebt.
AddictIT @Razwer9 november 2022 17:38
Je doet wel wat aannames over mijn kennisniveau in je tweede deel van je reactie.
Laat ons er hier geen discussie van maken wie wat en hoeveel kent over een bepaald aspect van technologie.

Cloud is een buzz-word geweest(?), als je kijkt hoeveel organisaties er nu terugkomen van Cloud naar On-premises. ZTNA is gewoon het volgende, net zoals Digital Transformation het vorige was... Of het helemaal terecht is zullen we pas weten binnen een paar jaar als je het mij vraagt.

Dat ZTNA als concept bijdraagt aan een veiliger omgeving, ga ik ook verre van ontkennen. Maar hou het hoofd koel ;-)
Razwer @AddictIT9 november 2022 18:10
Mijn aannames zijn vooral gebaseerd op je "kort door de bocht" antwoord op de definitie.
"buzz word" an sich wordt door bepaalde vendors ook toegegeven. Maar "eindelijk wat gaat doen met netwerk-segmentatie en gebruikers enkel de rechten geven die ze nodig hebben" is veel te kort door de bocht naar mijn mening. Misschien was ik eerder iets te scherp tegen je, daar voor mijn excuses.
Kijkend naar wat marktleider Zscaler over ZTNA zegt ligt het concept toch enorm breder dan wat je stelt: https://www.zscaler.com/r...zero-trust-network-access
Het wegnemen van een attack surface door een cloud-native oplossing te gebruiken is imo andere koek dan "eindelijk wat gaat doen met netwerk-segmentatie"
Dit was dan ook het punt wat ik trachtte aan te stippen met mijn initiele opmerking waar je op reageerde. Blijkbaar heb ik daar in gefaald.

edit: Ik snap nu overigens wel waarom je een lans breekt voor Citrix ADC, je hebt belangen. Is niet erg, maar geeft wel context :)
I am a passionate Citrix ADC (NetScaler) engineer with more than 15 years of working with Citrix technologies, with a strong focus on security and automation

[Reactie gewijzigd door Razwer op 25 juli 2024 08:53]

sOid @TijsZonderH9 november 2022 11:19
Woops. Meer koffie. Dan toch ontopic! ;)
copteaser 9 november 2022 11:11
Onze Citrix poc nam gister begin van de middag contact met ons op om voor deze kwetsbaarheden te waarschuwen. Inmiddels ons eerste HA pair al geupdate, en de andere 2 staan op de planning voor vanavond. fijn iig dat men actief contact met de customer base zoekt om te waarschuwen voor critical CWE's!
eduardw 9 november 2022 13:24
Heb altijd het gevoel bij dit soort bugs en zeker in een chain. Zijn het wel bugs was het niets stiekem een achterdeur die nu bekend is geworden en dus als bug ge patched moet worden.
Tadango 9 november 2022 11:32
Ah, daarom was Citrix zo goed als onbruikbaar vanochtend, ze waren de boel aan het updaten en herstarten. Meestal komt er wel een email vanuit IT, maar dit keer niet. En ik al weer schelden op mijn nieuwe router vanwege alle haperingen... sorry schat :)
Coendo @Tadango9 november 2022 16:42
Een beetje IT-afdeling heeft zijn Netscalers in een HA-pair staan (1=geen), dat had je een hoop gevloek gescheeld ;)
Tadango @Coendo9 november 2022 16:47
Deze internationale mega organisatie (200+ miljard omzet) heeft dat niet goed voormekaar, en dat verbaasd me niets gezien mijn ervaringen verder. IT is niet zo moeilijk totdat er teveel lagen zijn met teveel beslissingen die uiteindelijk de goedkoopste beheer organisatie kiest welke het altijd verprutst. Gebeurd continu overal.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq