Beheer

Security
patches

Eerste patches voor Citrix-gat nu uit

Eerste paar patches voor Shitrix-gat zijn er, voor selecte versies.

© Pixabay CC0 Public Domain
19 januari 2020

Eerste paar patches voor Shitrix-gat zijn er, voor selecte versies.

Citrix heeft zondag de eerste patches uitgebracht voor het grote, openstaande beveiligingsgat wat Shitrix is gedoopt. Kwaadwillenden maken al actief misbruik van deze kwetsbaarheid in de de Application Delivery Controller (ADC) en Gateway van leverancier Citrix. Security-orgaan NCSC van de Nederlandse overheid heeft op basis van AIVD-informatie al geadviseerd Citrix-servers waar mogelijk uit te schakelen. Patchwerk kan nu beginnen, voor sommige gebruikers.

De verwachting was eerst dat Citrix na het weekend zou komen met patches voor de ernstige Shitrix-kwetsbaarheid. Het is de leverancier toch gelukt om zondagavond (Nederlandse tijd) nog met updates te komen voor zijn kwetsbare producten. Het gaat hierbij echter om de eerste paar patches, voor specifieke oudere versies van de software. Nieuwere versies (12.1 en 13.0), maar ook juist oudste versies (10.2.6 en 10.5) naast nog een tussenversie (11.0.3), moeten nog enkele dagen wachten.

Eind deze week

Volgens planning komt Citrix aanstaande vrijdag (24 januari) namelijk met de volgende ronde patches. De nu uitgebrachte eerste paar patches zijn voor de versies 11.1 en 12.0 van ADC en Gateway. Beide producten droegen voorheen nog de Netscaler-merknaam erbij: Netscaler ADC en Netscaler Gateway. Voor het installeren van de beschikbare patches voor deze versies zijn nog wel enkele vereisten van toepassing.

Alle instances van de ADC- en Gateway-producten met versie 11.1 moeten éérst worden bijgewerkt naar build-nummer 11.1.63.15. Dan pas kunnen de securityfixes voor de openstaande kwetsbaarheid worden geïnstalleerd, meldt Citrix in de informatie bij de downloads. Instances van versie 12.0 moeten opgewaardeerd worden naar build-nummer 12.0.63.13 om de patches te kunnen toepassen.

Lokaal, als VM en in cloud

De op zondagavond laat uitgebrachte patches zijn van toepassing op ADC en Gateway in alle vormen. Dit omvat naast de reguliere installaties van die software voor applicatietoegang op afstand ook opstellingen waarbij de Citrix-producten als virtuele appliances (VPX'en) bestaan. De software draait daarbij dan op virtualisatiesoftware als VMware ESX, Microsoft Hyper-V, KVM, XenServer, Microsofts Azure-cloud, Amazons AWS-cloudsystemen, Google's cloudomgeving GCP (Google Cloud Platform), of Citrix' eigen Security Delivery Appliance (SDX).

Ondertussen hebben in Nederland diverse gemeenten, ministeries, de Tweede Kamer, universiteiten, HBO's en andere onderwijsinstellingen hun Citrix-servers geheel uitgeschakeld. Dit in navolging van advies van security-orgaan NCSC (Nationaal Cyber Security Centrum) van het ministerie van Justitie.

Waarschuwing op Kerstavond

Dat dringende advies is gedaan mede op basis van een beveiligingsadvies van de Nederlandse inlichtingendienst AIVD (Algemene Inlichtingen- en Veiligheidsdienst). Beperkende maatregelen (mitigations) die leverancier Citrix halverwege december bekend heeft gemaakt, blijken het beveiligingsgat namelijk niet goed af te dekken. Een noodmelding over het gat is op Kerstavond per sms aan gemeenten verstuurd door de Informatiebeveiligingsdient voor gemeenten (IBD).

Voor maandag 20 januari staan nu niet alleen naarstig test- en patchwerk op stapel - naast eventueel vereist werk voor build-upgrades. Door het uitschakelen van Citrix-servers bij vele bedrijven en overheidsinstanties kunnen grote aantallen werknemers  niet meer thuiswerken, met toegang tot alle reguliere bedrijfsapplicaties.

Kantoorwerk, files en werkplekken

De verwachting is dan ook dat er grotere drukte in de spits zal zijn op weg naar diverse kantoren. Bovendien is het nog de vraag of al die kantoren genoeg capaciteit hebben qua werkplekken; vierkante meters ruimte met daarop dan bureaus, stoelen en ook pc's. Veel ministeries hebben hiervoor al maatregelen genomen door extra werkplekken in te richten plus daar desktop-pc's en laptops klaar te zetten voor de verwachte toestroom van ambtenaren die normaliter thuiswerken.

Lees meer over Beheer OP AG Intelligence
3
Reacties
Pieter van der Hoog 21 januari 2020 09:14

Hij is leuk! Shitrix……… :)

Jasper Bakker 20 januari 2020 13:24

Auw! Ja, 24 januari is vrijdag.
Excuus, toch te haastig dit artikel gemaakt.
Dank aan Basr voor de opmerkzaamheid!

BasR 20 januari 2020 12:10

De eerste donderdag 24 januari is over 10 jaar...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.