Skip to the content.

DIVD-2020-00002 - Wildcard certificaten Citrix ADC

Our reference DIVD-2020-00002
Case lead Frank Breedijk
Researcher(s)
CVE(s)
Product TLS Wildcard certificates installed on vulnerable Citrix ADC / Citrix Gateway / Netscaler ADC / Netscaler Gateway / Citrix SD-WAN WANOP servers
Versions n/a
Recommendation Revoke and replace certificates (preferably for non-wildcard versions) unless you can reliably determine that the Citrix system wasn't compromised.
Status Closed
Last modified 12 Aug 2022 11:21

English below

Update 22-1-2020 21:20

Samenvatting

Uit analyse van de data van onze scan in de nacht van 9 op 10 januari is gebleken dat van de ruim 700 door ons als kwetsbaar geidentificeerde Citrix systemen, er meer dan 450 systemen gebruik maakten van wildcard certificaten.

Wildcard certificaten zijn TLS certificaten die geldig zijn voor alle sub-domeinen binnen een domein. Voorbeeld: het (niet bestaande) wildcard certificaat *.securitymeldpunt.nl is geldig voor alle subdomeinen van securitymeldpunt.nl, dus ook voor www.securitymeldpunt.nl, mail.securitymeldpunt.nl en cms.securitymeldpunt.nl.

Een TLS certificaat beschermt een TLS verbinding tegen afluisteren en zorgt ervoor dat een eindgebruiker zekerheid heeft over de identiteit van de website of dienst waarmee hij communiceert. Een goed TLS certificaat beveiligd tegen het onderscheppen en omleiden van verbindingen (bijvoorbeeld om deze af te luisteren, te manipuleren of een phishing site op te zetten).

Er is een grote waarschijnlijkheid dat Citrix ADC’s waarop op of na 9 januari 2020 geen mitigatie is toegepast, zijn overgenomen en dat daarbij het TLS certificaat en de bijgehorende sleutel is buitgemaakt.

Wat kun u doen?

We raden iedereen aan de volgende overweging te maken:

Indien het antwoord op een van deze vragen ja is, dan raden wij u aan om:

Let erop dat een wildcard certificaat mogelijk ook gebruikt kan worden op een ander system dan het desbetreffende Citrix systeem.

Indien u, met hoge mate van zekerheid heeft kunnen uitsluiten dat het systeem gecompromitterd is, raden wij u nog steeds aan het wildcard certificaat te vervangen door een niet-wildcard variant en zo een soortgelijk risico in de toekomst te vermijden.

Wat doen wij?

Wij zijn op dit moment bezig de lijst te verwerken en gaan daarna proberen alle partijen in te lichten. Wij hebben onze data gedeeld met het NCSC.

Timeline

Date Description
9-1-2020 / 10-1-2020 Initiele scan uitgevoerd om kwetsbare systemen te identificeren. Hierbij zijn ook de domeinnamen in de TLS certificaten opgeslagen.
22-1-2020 Data gedeeld met NCSC.
22-1-2020 Data analyse.
22-1-2020 We hebben ongeveer 1.350 emails gestuurd aan abuse@, info@ en security@ van de betrokken domeinen.
gantt title DIVD-2020-00002 - Wildcard certificaten Citrix ADC dateFormat YYYY-MM-DD axisFormat %e %b %Y section Case DIVD-2020-00002 - Wildcard certificaten Citrix ADC (13 days) :2020-01-09, 2020-01-22 section Events Inital scan to identify affecged systems. During this scan the domainnames in TLS certificates were recorded as well. (1 days) : 2020-01-09, 2020-01-10 Shared Data with Dutch NCSC : milestone, 2020-01-22, 0d Data analysis : milestone, 2020-01-22, 0d We sent out about 1.350 email messages to abuse@, info@ and security@ addresses of affected domains : milestone, 2020-01-22, 0d

English


Summary

Our analysis of the scan data collected on the night of January 9 to 10 shows that of the more than 700 vulnerable Citrix servers identified in the Netherlands, over 450 used wildcard certificates.

Wildcard certificates are TLS certificates that can be used with multiple sub-domains of a domain. As an example, the wildcard certificate *.securitymeldpunt.nl (fictional) is valid for all sub-domains available of securitymeldpunt.nl - e.g., www.securitymeldpunt.nl, mail.securitymeldpunt.nl, cms.securitymeldpunt.nl.

TLS certificates ensure the integrity of a TLS connections and validate the identity of the website or service accessed by an end user. They provide protection against interception, manipulation, or redirection of connections to a malicious site (e.g. for phishing). There is a high probability that Citrix ADC servers with no mitigation applied on or after January 9, 2020, have been taken over and their TLS certificates and associated keys have been stolen.

What you can do

Before taking any action, ask the following questions:

If the answer to one of these questions is “yes,” we recommend taking these steps:

  1. Check which TLS certificates were present on the system
  2. Replace these certificates with new, preferably non-wildcard, certificates
  3. Have these TLS certificates revoked by the Certificate Authority (CA) that issued them

Note that a wildcard certificate may also be used on a system other than the relevant Citrix system.

If you are highly confident that your system has not been compromised, we still recommend replacing the wildcard certificate with a non-wildcard one and avoid using them in the future.

What we are doing

We are currently processing the list of vulnerable Citrix servers identified in our scanning and will try to inform all affected parties. We have shared our data with the NCSC.

Timeline

Date Description
09 Jan 2020-
10 Jan 2020
Inital scan to identify affecged systems. During this scan the domainnames in TLS certificates were recorded as well.
22 Jan 2020 Shared Data with Dutch NCSC
22 Jan 2020 Data analysis
22 Jan 2020 We sent out about 1.350 email messages to abuse@, info@ and security@ addresses of affected domains
gantt title DIVD-2020-00002 - Wildcard certificaten Citrix ADC dateFormat YYYY-MM-DD axisFormat %e %b %Y section Case DIVD-2020-00002 - Wildcard certificaten Citrix ADC (13 days) :2020-01-09, 2020-01-22 section Events Inital scan to identify affecged systems. During this scan the domainnames in TLS certificates were recorded as well. (1 days) : 2020-01-09, 2020-01-10 Shared Data with Dutch NCSC : milestone, 2020-01-22, 0d Data analysis : milestone, 2020-01-22, 0d We sent out about 1.350 email messages to abuse@, info@ and security@ addresses of affected domains : milestone, 2020-01-22, 0d