DIVD-2020-00001 - Citrix ADC

English below

Update 9-3-2020 21:12

Gezien de lage hoeveelheid ip adressen die nog kwetsbaar zijn gaan we deze case afsluiten.

Samenvatting

Op 24-12-2019 werd bekend dat het product Citrix ADC / Citrix Gateway / Netscaler ADC / Netscaler Gateway (hierna Citrix ADC) een ernstig lek bevat waardoor het eenvoudig mogelijk is het systeem over te nemen. Voor versie 11.1 en 12.0 zijn inmiddels patches beschikbaar. Voor de andere versies worden de patches op 24-1 verwacht. Voor het downloaden van patches is een Citrix portal account nodig. Voor systemen waar nog geen patches voor zijn/waren is er een mitigatie beschikbaar die de kwetsbaarheid verminderd. Deze bleek echter niet 100% betrouwbaar. Het NCSC adviseert dan ook indien mogelijk Citrix ADC systemen zonder patch niet te gebruiken.

Aanvallers scannen massaal het internet af naar kwetsbare systemen die vervolgens worden overgenomen.

Op basis van een risico analyse is het verstandig, alvorens de patches te installeren, uit te sluiten of het systeem reeds door aanvallers is gecompromitteerd.

• Indien de mitigerende maatregel voor 9-1-2020 is toegepast en er geen gebruik gemaakt werd van versie 12.1 build 50.28 dan is de kans klein dat het systeem reeds gecompromitteerd is.
• Indien de mitigerende maatregel na of op 9-1-202 is geïmplementeerd of als er gebruik gemaakt is van versie 12.1 build 50.28 dan is het verstandig extra maatregelen te nemen.
• Zorg er in ieder geval voor dat u de patch uit betrouwbare bron ontvangt. Liefst van de Citrix site zelf.

Additionele maatregelen zijn:

• Koppel het systeem af.
• Laat het systeem door een deskundige forensisch onderzoeken (zie onze blog), zorg dat dit onderzoek wordt uitgevoerd door een voldoende kundige expert.
• Controleer het systeem op bekende IOC’s (Indicators Of Compromise).
• Laat verder forensisch onderzoek uitvoeren als er aanwijzignen zijn dat het systeem inderdaad gecompromitterd is.
• Als het systeem gecompromitteerd is, dan zijn ook de sleutels van de TLS certificaten gecompromitteerd. Laat deze certificaten intrekken door de uitgevende partij een vraag nieuwe exemplaren aan op basis van nieuwe sleutels. Indien gebruik is gemaakt van “wildcard” certificaten, dan moeten deze vervangen worden op alle systemen waarop zij gedeeld worden.
• Bouw een nieuw schoon systeem op en voorzie dit nieuwe systeem wederom van de mitigatie.
• Voer een riciso analyse uit wat deze inbraak verder voor u/uw organisatie betekent.

(Met dank aan NCSC Advies)

Het Security Meldpount scant naar systemen waarvan wij op afstand vast kunnen stellen dat de mitigatie niet is uitgevoerd of werkt en sturen hiervan bericht naar de beheerders van het netwerk waar deze systemen in staan. Hierbij concentreren wij ons op systemen in of gelieerd aan Nederland.

Het aantal ongemitigeerde systemen neem gelukkig af.

Tijdslijn

English

Update 9-3-2020 21:12

Considering the low amount of vulnerable ip addresses coming from our scans, we deciced to close this case.

Summary

On 24-12-2019 Citrix ADC / Citrix Gateway / Netscaler ADC / Netscaler Gateway (hereafter Citrix ADC) appeared to contain a serious vulnerability that allows an attacker to trivially take over a system. Patches are available for version 11.1 and 12.0. Patches for the other versions are expected on 24-1. A valid Citrix portal account is needed to download these patches. For systems that are currently upatched there is a mitigation that reduces the vulnerability. However, this mitigation turned out not to be 100% reliable. The Dutch NCSC strongly recommends to not use Citrix ADC systems that are unpatched if possible (translation by google.

Attackers are bulk scanning the internet for vulnerable systems and exploiting them.

Use the following risk analysis to determine your cause of action before patching:

• If the mitigation was implemeneted before 9-1-2020 and version 12.1 build 50.28 was used not used the changes that the system is compromised are slim, you can install the patches on your system
• If the mitigation was implemented on or after 9-1-2020 or version 12.1 build 50.28 was used, it is recommended to take additional measures.
• Make sure you patch or image comes from a realiable source , preferably the Citrix website.

Additional measures are:

• Disconnect the system
• Make sure an expert forensically investigates the sytem (see our blog), make sure that the expert is sufficiently qualified.
• Test your system on possible IOC’s (Indicators Of Compromise
• Perform further forensics if the system turns out to be compromised.
• If the system is compromised, then the keys TLS certificates on the system must be considered to be compromised as well. Ask your CA to revoke these certificates and request new certificates based on new keys. If the system contained “wildcard” certificates, then make sure these are replaced on any other systems that use them as well.
• Build a new clean system and re-apply the mitigation.
• Perform a risk analysis to determine the consequences of this hack for you/your organisation.

(Met dank aan NCSC Advies)

The Security Hotline is scanning for systems that are unmitigated or have an ineffective mitigation and is sending out notifications to the operators of networks in which these systems are found. We focus on systems located or related to The Netherlands.

The number of vulnerable systems is decreasing

Timeline

Timeline