NFIR Threat Intelligence Report inzake kritieke kwetsbaarheid in Citrix

Wat zijn Citrix ADC / Gateway?

Citrix Applicaton Delivery Controller, ofwel ADC (het vroegere NetScaler ADC) is een oplossing voor application delivery en load balancing. Het wordt gebruikt voor het faciliteren van applicaties binnen bedrijfsomgevingen. Citrix Gateway is een on-premise oplossing die remote access faciliteert en de toegang tot apps en resources verschaft.

Welke mogelijke impact heeft deze kwetsbaarheid?

Als een aanvaller in staat is om de kwetsbaarheid succesvol uit te buiten, dan kan dit leiden tot ongeautoriseerde toegang tot Citrix-systemen, alsmede achterliggende systemen die onderdeel zijn van de netwerk-infrastructuur.

Om deze kwetsbaarheid te misbruiken moet het systeem zijn ingesteld als Gateway waarbij gebruik wordt gemaakt van de SSL VPN functionaliteit of als het systeem is geconfigureerd als ICA proxy met authenticatie. Citrix schaalt de kwetsbaarheid in als “critical”.

Wat zijn de aanbevelingen?

NFIR adviseert aan getroffen klanten van Citrix ADC en Citrix Gateway om de relevante bijgewerkte versies van Citrix ADC of Citrix Gateway zo snel mogelijk te installeren:

  • Citrix ADC en Citrix Gateway 13.1-33.47 en latere versies
  • Citrix ADC en Citrix Gateway 13.0-88.12 en latere versies van 13.0 
  • Citrix ADC en Citrix Gateway 12.1-65.21 en latere versies van 12.1 
  • Citrix ADC 12.1-FIPS 12.1-55.289 en latere versies van 12.1-FIPS 
  • Citrix ADC 12.1-NDcPP 12.1-55.289 en latere versies van 12.1-NDcPP

Is er een actieplan?

Het is belangrijk voor uw organisatie om ten minste de volgende stappen te nemen:

  1. Controleer (indien beschikbaar) de publiek beschikbare Indicators-of-Compromise (IoC’s) op uw systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern preventief onderzoek uitvoeren naar uw systemen.
  2. Bereid uw organisatie voor op de situatie dat er onverwacht patches uitgevoerd dienen te worden (buiten de reguliere update-timeframes) en pas patches gecontroleerd toe volgens de voor uw organisatie gebruikelijke procedure.
  3. Voer de beschikbare beveiligingsupdates/patches zodra deze gepubliceerd zijn direct uit op de systemen en verifieer of de updates daadwerkelijk toegepast zijn. In het geval dat u een externe IT-dienstleverancier heeft: Laat uw leverancier deze handelingen uitvoeren en laat deze de handelingen en het resultaat hiervan schriftelijk aan u bevestigen.

Heeft u systemen waarvan het risico groot is (bijvoorbeeld systemen met gevoelige of bijzonder persoonsgegevens)? Overweeg dan om het systeem tijdelijk uit te schakelen.

Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.

 

SECURITY INCIDENT BIJ UW ORGANISATIE?

De volgende 30 minuten zijn van cruciaal belang​!

De eerste 30 minuten na een cyber security incident zijn cruciaal, omdat een snelle en adequate reactie de schade kan beperken. Daarnaast kan verdere verspreiding van de aanval worden voorkomen en kan essentieel bewijsmateriaal veiliggesteld worden voor nader onderzoek.

Ons Computer Emergency Response Team (CERT) staat 24/7 klaar om bedrijven en organisaties te ondersteunen bij IT-beveiligingsincidenten.

NAVO top, NFIR incident response bereikbaarheid

Vanwege het verhoogde risico op verstoringen in het mobiele netwerkverkeer tijdens de NAVO-top, heeft NFIR voor de periode van 20 juni tot en met 26 juni een alternatief telefoonnummer indien het reguliere IR-nummer niet bereikbaar is: +31 6 3928 3344. U kunt via Whatsapp naar dit nummer bellen of via Signal nadat u een bericht heeft gestuurd.