UPDATE: Vele Nederlandse Citrix-servers kwetsbaar voor aanvallen
Het NCSC vraagt uw aandacht voor een zeer ernstige kwetsbaarheid in Citrix ADC en Citrix Gateway servers, voorheen bekend als Citrix Netscaler. Deze kwetsbaarheid wordt qua ernst ingeschaald op een 9,8 op een schaal van 1 t/m 10. Vele Nederlandse Citrix-servers zijn kwetsbaar voor aanvallen, waarvoor inmiddels ook exploits beschikbaar zijn. Hiermee is misbruik van de kwetsbaarheid mogelijk. Nieuwe informatie zal ook gedeeld worden middels het High/High beveiligingsadvies.
Advies
Het NCSC adviseert met klem om zo snel mogelijk de mitigerende maatregelen toe te passen, zoals geadviseerd door Citrix. Ook wanneer u deze maatregelen recent heeft toegepast, dan waarschuwt het NCSC alsnog voor de mogelijkheid dat kwaadwillenden toegang kunnen hebben tot uw netwerk. Zodra er een patch beschikbaar is voor deze kwetsbaarheid kunt u die vinden op deze pagina.
Handelingsperspectief
- Inventariseer of in uw organisatie mogelijk kwetsbare Citrix systemen aanwezig zijn.
- Inventariseer of u kwetsbaar bent. Hiervoor is inmiddels een tool beschikbaar. Deze kunt u hier vinden.
- Er is nog geen beveiligings-update. Wel zijn er mitigerende maatregelen gepubliceerd door Citrix. Implementeer zo spoedig mogelijk deze mitigerende maatregelen.
- Controleer of deze mitigerende maatregelen effectief zijn. Gebruik hiervoor bovengenoemde tool.
- Houd er rekening mee dat u mogelijk een gecompromitteerd systeem heeft. Dit kan vóór de mitigatie gebeurd zijn, of wanneer de mitigatie niet effectief bleek.
- Houdt in de gaten wanneer Citrix een beveiligings-update voor deze kwetsbaarheid beschikbaar stelt.
- Implementeer zo snel mogelijk de Citrix beveiligings-update wanneer deze beschikbaar is.
Zijn er indicatoren om na te gaan of mijn systeem (mogelijk) gecompromitteerd is?
Mocht u op dit moment nog geen mitigerende maatregelen hebben getroffen, dan moet u er rekening mee houden dat uw systeem gecompromitteerd is. Er zijn enkele technische indicatoren waar u naar kan kijken. Let op! De afwezigheid van deze indicatoren betekent niet dat u niet gecompromitteerd bent. Wij raden met klem aan om onderzoek hiernaar door een securityspecialist te laten doen.
- Als een kwaadwillende (een poging tot) code execution doet, worden xml bestanden aangemaakt en aangeroepen. Deze bevinden zich in vpns/portal/ directories.
- De inhoud van een dergelijk xml bestand kan een indicatie geven over mogelijk misbruik.
- Let op: er is een kans dat een dergelijk xml bestand als een executable wordt gelezen. Hierover is nog onvoldoende informatie bekend.