Eerste patches voor Citrix-gat nu uit

De verwachting was eerst dat Citrix na het weekend zou komen met patches voor de ernstige Shitrix-kwetsbaarheid. Het is de leverancier toch gelukt om zondagavond (Nederlandse tijd) nog met updates te komen voor zijn kwetsbare producten. Het gaat hierbij echter om de eerste paar patches, voor specifieke oudere versies van de software. Nieuwere versies (12.1 en 13.0), maar ook juist oudste versies (10.2.6 en 10.5) naast nog een tussenversie (11.0.3), moeten nog enkele dagen wachten.

Eind deze week

Volgens planning komt Citrix aanstaande vrijdag (24 januari) namelijk met de volgende ronde patches. De nu uitgebrachte eerste paar patches zijn voor de versies 11.1 en 12.0 van ADC en Gateway. Beide producten droegen voorheen nog de Netscaler-merknaam erbij: Netscaler ADC en Netscaler Gateway. Voor het installeren van de beschikbare patches voor deze versies zijn nog wel enkele vereisten van toepassing.

Alle instances van de ADC- en Gateway-producten met versie 11.1 moeten éérst worden bijgewerkt naar build-nummer 11.1.63.15. Dan pas kunnen de securityfixes voor de openstaande kwetsbaarheid worden geïnstalleerd, meldt Citrix in de informatie bij de downloads. Instances van versie 12.0 moeten opgewaardeerd worden naar build-nummer 12.0.63.13 om de patches te kunnen toepassen.

Lokaal, als VM en in cloud

De op zondagavond laat uitgebrachte patches zijn van toepassing op ADC en Gateway in alle vormen. Dit omvat naast de reguliere installaties van die software voor applicatietoegang op afstand ook opstellingen waarbij de Citrix-producten als virtuele appliances (VPX'en) bestaan. De software draait daarbij dan op virtualisatiesoftware als VMware ESX, Microsoft Hyper-V, KVM, XenServer, Microsofts Azure-cloud, Amazons AWS-cloudsystemen, Google's cloudomgeving GCP (Google Cloud Platform), of Citrix' eigen Security Delivery Appliance (SDX).

Ondertussen hebben in Nederland diverse gemeenten, ministeries, de Tweede Kamer, universiteiten, HBO's en andere onderwijsinstellingen hun Citrix-servers geheel uitgeschakeld. Dit in navolging van advies van security-orgaan NCSC (Nationaal Cyber Security Centrum) van het ministerie van Justitie.

Waarschuwing op Kerstavond

Dat dringende advies is gedaan mede op basis van een beveiligingsadvies van de Nederlandse inlichtingendienst AIVD (Algemene Inlichtingen- en Veiligheidsdienst). Beperkende maatregelen (mitigations) die leverancier Citrix halverwege december bekend heeft gemaakt, blijken het beveiligingsgat namelijk niet goed af te dekken. Een noodmelding over het gat is op Kerstavond per sms aan gemeenten verstuurd door de Informatiebeveiligingsdient voor gemeenten (IBD).

Voor maandag 20 januari staan nu niet alleen naarstig test- en patchwerk op stapel - naast eventueel vereist werk voor build-upgrades. Door het uitschakelen van Citrix-servers bij vele bedrijven en overheidsinstanties kunnen grote aantallen werknemers  niet meer thuiswerken, met toegang tot alle reguliere bedrijfsapplicaties.

Kantoorwerk, files en werkplekken

De verwachting is dan ook dat er grotere drukte in de spits zal zijn op weg naar diverse kantoren. Bovendien is het nog de vraag of al die kantoren genoeg capaciteit hebben qua werkplekken; vierkante meters ruimte met daarop dan bureaus, stoelen en ook pc's. Veel ministeries hebben hiervoor al maatregelen genomen door extra werkplekken in te richten plus daar desktop-pc's en laptops klaar te zetten voor de verwachte toestroom van ambtenaren die normaliter thuiswerken.

Further updates on Citrix Vulnerability #CVE201919781, with first permanent fixes available for certain versions and an accelerated timeline for permanent fix for remaining versions.https://t.co/20c9u3oh8h

— Citrix (@citrix) January 19, 2020