De afgelopen dagen is er veel aandacht in het nieuws omtrent een ernstige kwetsbaarheid in Citrix. Er is code online verschenen waarmee hackers zonder technische kennis eenvoudig misbruik kunnen maken van deze kwetsbaarheid, zoals gebeurd lijkt te zijn in Medische Centrum Leeuwarden en de gemeente Zutphen. Ook instellingen voor gehandicaptenzorg maken gebruik van deze Citrix producten. De VGN adviseert u om te handelen op basis van de adviezen van uw softwareleverancier, het Nationaal Cyber Security Centrum (NCSC) en de Zorg-CERT.
Update 27 januari 2019
Citrix heeft de laatste patches beschikbaar gesteld voor de softwarepakketten Netscaler ADC en Gateway Server. VWS adviseert om deze patches onder de voorwaarden van het NCSC te installeren. Zie hiervoor de website van het Nationaal Cyber Security Centrum: https://www.ncsc.nl/actueel/nieuws/2020/januari/19/update-advies-patches-citrix
Oorspronkelijke tekst
Kern van de adviezen is:
- maak inzichtelijk wat de impact is van het uitzetten van de betreffende servers
- als uitzetten van de betreffende servers redelijkerwijze niet tot de mogelijkheden behoort, zouden bedrijven intensief moeten monitoren op mogelijk misbruik of ip-adressen moeten whitelisten.
Inmiddels hebben een aantal VGN leden besloten om de betreffende servers uit te zetten.
Handelingsperspectief
- Inventariseer of in uw organisatie mogelijk kwetsbare Citrix systemen aanwezig zijn.
- Inventariseer of u kwetsbaar bent. Hiervoor is inmiddels een tool beschikbaar. Deze kunt u hier vinden.
- Er is nog geen beveiligings-update. Wel zijn er mitigerende maatregelen gepubliceerd door Citrix. Implementeer zo spoedig mogelijk deze mitigerende maatregelen.
- Controleer of deze mitigerende maatregelen effectief zijn. Gebruik hiervoor bovengenoemde tool.
- Houd er rekening mee dat u mogelijk een gecompromitteerd systeem heeft. Dit kan vóór de mitigatie gebeurd zijn, of wanneer de mitigatie niet effectief bleek.
- Houdt in de gaten wanneer Citrix een beveiligings-update voor deze kwetsbaarheid beschikbaar stelt.
- Implementeer zo snel mogelijk de Citrix beveiligings-update wanneer deze beschikbaar is.
Zijn er indicatoren om na te gaan of mijn systeem (mogelijk) gecompromitteerd is?
Mocht u op dit moment nog geen mitigerende maatregelen hebben getroffen, dan moet u er rekening mee houden dat uw systeem gecompromitteerd is. Er zijn enkele technische indicatoren waar u naar kan kijken. Let op! De afwezigheid van deze indicatoren betekent niet dat u niet gecompromitteerd bent. Wij raden met klem aan om onderzoek hiernaar door een securityspecialist te laten doen.
- Als een kwaadwillende (een poging tot) code execution doet, worden xml bestanden aangemaakt en aangeroepen. Deze bevinden zich in vpns/portal/ directories.
- De inhoud van een dergelijk xml bestand kan een indicatie geven over mogelijk misbruik.
- Let op: er is een kans dat een dergelijk xml bestand als een executable wordt gelezen. Hierover is nog onvoldoende informatie bekend.
Meer informatie
Meer informatie vindt u op onderstaande websites:
Website van het NCSC
Website Zorg-CERT
Citrix zelf meldt donderdag dat de mitigaties door een bug niet bij alle softwareversies werken. Citrix ADC 12.1-builds van voor 51.16/51.19 en 50.31 bevatten een bug die maakt dat de workarounds niet doorgevoerd worden. Het advies is om eerst de software te updaten en dan alsnog de mitigerende maatregelen toe te passen.
Citrix brengt de eerste patches rond 20 januari uit. Daarbij gaat het om Citrix ADC en Citrix Gateway versie 11.1 en 12.0. Op 27 januari verschijnen de fixes voor versies 12.1 en 13.0 en voor versie 10.5 is dat 31 januari. De eveneens kwetsbare versies 10.2.6 en 11.0.3 van Citrix SD-WAN Wanop krijgen ook oplapmiddelen, maar wanneer is nog niet bekend.
