Citrix Netscaler kwetsbaarheid CVE-2019-19781

Citrix Netscaler kwetsbaarheid CVE-2019-19781

Omdat er veel vragen gesteld worden over de kwetsbaarheid in het Citrix Netscaler platform, willen we u langs deze wijze hierover informeren. Citrix heeft op 17 december een kwetsbaarheid gepubliceerd waaraan door Mitre Corporation het formele nummer CVE-2019-19781 toegekend is.

Deze kwetsbaarheid is als kritisch gecategoriseerd omdat het een kwetsbaarheid betreft waarmee aanvallers in staat zijn om vanaf afstand code uit te voeren op het apparaat, zonder hiervoor ingelogd te zijn. Gezien de ernst van de kwetsbaarheid is hier veel media-aandacht naar uit gegaan. Deze berichtgeving was niet altijd even duidelijk over wat er nu precies aan de hand was. Het betreft een kwetsbaarheid in de Citrix Netscaler, een vast onderdeel van een standaard Citrix infrastructuur. Dit apparaat zorgt ervoor dat gebruikers kunnen thuiswerken en is daarom ook via Internet toegankelijk.

Vanuit het securityteam bewaken we publicaties rondom kwetsbaarheden continue zodat we snel kunnen anticiperen en onze aangesloten klanten kunnen adviseren. Met de bekendmaking van deze nieuwe kwetsbaarheid is er direct een interne projectgroep geformeerd bestaande uit mensen vanuit ons securityteam, de systeemverantwoordelijken van ons Cloud platform, de Citrix specialisten binnen onze organisatie, en onze Security Officer.

 

Dit team heeft een eerste analyse gemaakt van de diensten en klanten die hier potentieel door getroffen zouden kunnen worden, alsmede de kans dat het lek actief misbruikt zou kunnen worden. De conclusie was dat de noodzaak dusdanig hoog was en dat we ons kerstdiner hier niet door wilde laten verstoren. Ten tijde van deze beslissing was er nog geen sprake van actief misbruik. Na een korte test in een testomgeving zijn de aanbevolen mitigerende maatregelen doorgevoerd op alle beheerde (klant)platformen. Deze werkzaamheden zijn op 24 december afgerond. Ook zijn er diverse vulnerability scans en door Citrix gepubliceerde testscripts uitgevoerd ter bevestiging dat de kwetsbaarden niet meer toegankelijk waren.

In de periode tussen 5 en 17 januari is de media-aandacht voor deze kwetsbaarheid weer opgelaaid en bleek dat de mitigerende maatregelen niet effectief waren op bepaalde firmware-versies van de Citrix Netscaler. Hoewel dit naar voren had moeten komen uit de uitgevoerde tests, heeft er nogmaals een controle plaatsgevonden. Hieruit bleek dat de genoemde versies niet in omloop waren binnen de beheerde apparatuur. In deze periode heeft het NCSC het advies uitgebracht om de Netscaler apparatuur uit te schakelen. Hier is door veel gemeentes gehoor aan gegeven. In overleg met de projectgroep hebben wij besloten dit advies niet te volgen. De impact van het uitschakelen van dergelijke systemen treft veel operationele processen. Het advies vanuit het NCSC was naar onze mening ook niet voldoende technisch onderbouwt. Dit advies is naderhand ook bijgesteld, vermoedelijk naar aanleiding van de publicatie door Fox-IT van vrijdag 17 januari.

De interne projectgroep is constant alert gebleven om te bewaken of er geen verandering in de dreigingssituatie zou optreden. Hierbij vervult onze security monitoring een belangrijke taak om de aangesloten systemen te bewaken en vroegtijdig verdachte situaties te signaleren. Er heeft nog een aanvullende analyse plaatsgevonden op twee omgevingen. De insteek hiervan was om te bepalen of er in de periode voor en na het moment waarop de mitigerende maatregelen zijn ingesteld, pogingen zijn gedaan om de kwetsbaarheid te misbruiken. Dit bleek niet het geval. De publicatie van Fox-IT bevestigde dat de exploits pas in omloop zijn gekomen na 10 januari, ruimschoots na het moment waarop de mitigerende maatregelen zijn getroffen.

Inmiddels zijn we op het punt dat Citrix firmware updates beschikbaar heeft gesteld waarmee de kwetsbaarheid definitief verholpen kan worden. Deze zullen via een regulier changeproces worden doorgevoerd zodat ook deze stappen zorgvuldig kunnen worden uitgevoerd. De klanten waar Promax het beheer van de Citrix infrastructuur voor uitvoert zullen hierbij actief benaderd worden.

Mocht u naar aanleiding van deze publicatie nog vragen hebben of mocht u assistentie nodig hebben, of aanvullend onderzoek wensen, dan kunt u contact met ons opnemen via de reguliere kanalen.