NFIR Threat Intelligence Report inzake kritieke kwetsbaarheid in Citrix

Wat zijn Citrix ADC / Gateway?

Citrix Applicaton Delivery Controller, ofwel ADC (het vroegere NetScaler ADC) is een oplossing voor application delivery en load balancing. Het wordt gebruikt voor het faciliteren van applicaties binnen bedrijfsomgevingen. Citrix Gateway is een on-premise oplossing die remote access faciliteert en de toegang tot apps en resources verschaft.

Welke mogelijke impact heeft deze kwetsbaarheid?

Als een aanvaller in staat is om de kwetsbaarheid succesvol uit te buiten, dan kan dit leiden tot ongeautoriseerde toegang tot Citrix-systemen, alsmede achterliggende systemen die onderdeel zijn van de netwerk-infrastructuur.

Om deze kwetsbaarheid te misbruiken moet het systeem zijn ingesteld als Gateway waarbij gebruik wordt gemaakt van de SSL VPN functionaliteit of als het systeem is geconfigureerd als ICA proxy met authenticatie. Citrix schaalt de kwetsbaarheid in als “critical”.

Wat zijn de aanbevelingen?

NFIR adviseert aan getroffen klanten van Citrix ADC en Citrix Gateway om de relevante bijgewerkte versies van Citrix ADC of Citrix Gateway zo snel mogelijk te installeren:

  • Citrix ADC en Citrix Gateway 13.1-33.47 en latere versies
  • Citrix ADC en Citrix Gateway 13.0-88.12 en latere versies van 13.0 
  • Citrix ADC en Citrix Gateway 12.1-65.21 en latere versies van 12.1 
  • Citrix ADC 12.1-FIPS 12.1-55.289 en latere versies van 12.1-FIPS 
  • Citrix ADC 12.1-NDcPP 12.1-55.289 en latere versies van 12.1-NDcPP

Is er een actieplan?

Het is belangrijk voor uw organisatie om ten minste de volgende stappen te nemen:

  1. Controleer (indien beschikbaar) de publiek beschikbare Indicators-of-Compromise (IoC’s) op uw systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern preventief onderzoek uitvoeren naar uw systemen.
  2. Bereid uw organisatie voor op de situatie dat er onverwacht patches uitgevoerd dienen te worden (buiten de reguliere update-timeframes) en pas patches gecontroleerd toe volgens de voor uw organisatie gebruikelijke procedure.
  3. Voer de beschikbare beveiligingsupdates/patches zodra deze gepubliceerd zijn direct uit op de systemen en verifieer of de updates daadwerkelijk toegepast zijn. In het geval dat u een externe IT-dienstleverancier heeft: Laat uw leverancier deze handelingen uitvoeren en laat deze de handelingen en het resultaat hiervan schriftelijk aan u bevestigen.

Heeft u systemen waarvan het risico groot is (bijvoorbeeld systemen met gevoelige of bijzonder persoonsgegevens)? Overweeg dan om het systeem tijdelijk uit te schakelen.

Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.

 

Scroll naar top