Veelgestelde vragen Citrix ADC en Citrix Gateway servers
Het NCSC heeft een lijst met veel gestelde vragen over Citrix ADC en Citrix Gateway servers samengesteld. Het NCSC updatet deze lijst als er nieuwe informatie beschikbaar is.
- For ENGLISH Frequently asked questions Citrix: click here.
- 30 januari 2020, 15.50 uur: Update vraag 4.
- 29 januari 2020, 13.19 uur: Update vraag 3.
- 25 januari 2020, 08.09 uur: Update over nieuwe patches (zie vraag 1).
- 24 januari 2020, 08:35 uur: Update over nieuwe patches (zie vraag 1).
- 23 januari 2020, 17:11 uur: Update over nieuwe patches (zie vraag 1).
- 23 januari 2020, 09:17 uur: Toevoeging vraag 4.
- 21 januari 2020, 17:16 uur: Publicatiedatum en -tijd eerste versie 'Veelgestelde vragen Citrix'
1. Wanneer komen de nieuwe patches van Citrix en zijn die te vertrouwen?
Citrix heeft alle patches (inclusief versie 10.5) beschikbaar gesteld voor de softwarepakketten Netscaler ADC en Gateway Server. Het NCSC adviseert om deze patches onder de hieronder uiteengezette voorwaarden te installeren. Het NCSC adviseert om na de installatie van de patches te blijven monitoren en detectie toe te passen op misbruik van de kwetsbaarheden.
Op donderdag 23 en vrijdag 24 januari 2020 heeft Citrix patches beschikbaar gesteld voor de versies 10.5 en 12.1 en 13.0.
Op zondag 19 januari 2020 heeft Citrix patches beschikbaar gesteld voor de versies 11.1 en 12.0.
Op basis van de beschikbare informatie adviseert het NCSC om de patches voor deze kwetsbaarheid te vertrouwen en onder bepaalde voorwaarden te installeren.
Voor aanvullende informatie en de voorwaarden verwijzen wij u naar ons nieuwsbericht van 24 januari 2020 en eerdere publicaties. Het NCSC benadrukt dat het nemen van mitigerende maatregelen in alle gevallen gebaseerd dient te zijn op een risicoafweging van de organisatie zelf.
2. Kan ik downgraden naar een vorige versie van Citrix (waar wel al een patch voor beschikbaar is)?
Het NCSC doet op dit moment geen onderzoek naar de consequenties van downgraden. Het is voor NCSC niet inzichtelijk wat de gevolgen van downgraden zijn voor uw organisatie. Om deze reden geeft het NCSC geen advies over downgraden. Het NCSC adviseert -als uw organisatie wil downgraden- dit te besluiten in nauwe samenspraak met een specialist of een Citrix-adviseur.
3. Met welke versie van Citrix kan ik de organisatie weer online brengen?
U dient eerst zeker te weten dat u niet gecompromitteerd bent (zie vraag 4). Is dat niet het geval dan adviseren wij voor elke Citrix versie de beschikbare updates (patches) te installeren. Het NCSC adviseert om na de installatie van de patches te blijven monitoren en detectie toe te passen op misbruik van de kwetsbaarheden.
Het NCSC adviseert daarnaast om logbestanden te analyseren vanaf 17 december 2019, omdat op dat moment Citrix de kwetsbaarheid gepubliceerd heeft.
4. Hoe weet ik of ik gecompromitteerd ben?
U kunt er van uitgaan dat u gecompromitteerd bent als u na 9 januari 2020 de mitigerende maatregelen genomen hebt. Voor de periode vanaf 9 januari 2020 adviseren wij u om uw server en de logbestanden te analyseren conform ons eerder gegeven advies.
Wilt u controleren of u gecompromitteerd bent? FireEye en Citrix hebben een tool gepubliceerd om te verifiëren of de Citrix ADC applicatie kwetsbaar is of dat deze al gecompromitteerd is op basis van bekende indicatoren.
Als u gebruikmaakt van een externe dienstverlener voor uw Citrix-omgeving, dan is het raadzaam om bij uw dienstverlener na te vragen op welke momenten welke maatregelen zijn genomen. Verwijs daarbij naar het stroomschema van het NCSC om een risico-inschatting te kunnen maken voor uw eigen Citrix-omgeving.
5. Welke dreiging gaat uit van deze kwetsbaarheid in Citrix?
Wanneer door een aanvaller misbruik wordt gemaakt van de kwetsbaarheid, krijgt de aanvaller volledig toegang tot uw (Citrix) server. Afhankelijk van de wijze waarop de Citrix server in uw netwerk geconfigureerd staat, kan een aanvaller toegang krijgen tot gekoppelde netwerken en daarin geplaatste servers. Welke informatie langs die weg beschikbaar is voor ons niet inzichtelijk en zult u in uw eigen risicoanalyse mee moeten nemen. In zijn algemeenheid kan het gaan om accountgegevens, bedrijfsgeheimen, spionage, ransomware etc.
6. Hoe weet ik of ik de patch van Citrix kan uitvoeren?
Bekijk daarvoor ons advies van 24 januari 2020. Het Stroomschema Riscioafweging Citrix kan helpen om een risicoafweging en eventuele vervolgacties voor uw organisatie vast te stellen.
7. Waarom adviseert het NCSC om in alle gevallen de ADC controllers uit te zetten totdat deze gepatchet zijn?
Dit advies geldt voor alle ADC controllers als mitigerende maatregelen niet zijn toegepast voor 9 januari 2020 of als u gebruik maakt van Citrix versie 12.1 v50.28.
8. Wat moet ik doen als ik gecompromitteerd ben?
Als uw systeem is gecompromitteerd, adviseren wij u om een herstelplan op te stellen (inclusief de acties die vermeld staan). Zie daarvoor ons nieuwsbericht van 24 januari 2020 (zie kop ‘Herstelplan na mogelijke compromittatie’).
9. Waar kan ik terecht als ik niet weet welke afweging ik moet maken over Citrix?
Het NCSC benadrukt dat het nemen van (mitigerende) maatregelen in alle gevallen gebaseerd dient te zijn op een risicoafweging van de organisatie zelf. Dit kunnen organisaties onder andere bepalen met de informatie van het NCSC. Organisaties binnen de Rijksoverheid kunnen met vragen terecht bij de CIO/ CTO van het eigen ministerie, die staat in contact met CIO Rijk en/ of het NCSC. Organisaties aangemerkt als vitaal kunnen contact opnemen met het NCSC. Voor algemene informatie en advies over digitale veiligheid voor niet-vitale bedrijven kunt u terecht op de website van het Digital Trust Center. Alle Nederlandse gemeenten kunnen terecht bij de Informatiebeveiligingsdienst (IBD) voor informatie en ondersteuning.