FireEye helpt Citrix aan gratis scantool voor klanten

Ook ontbreekt het de tool aan mogelijkheden om te bepalen of een Citrix-systeem überhaupt kwetsbaar is voor het grote Citrix-gat, waarvoor nog altijd patches moeten uitkomen.

"De tool is gratis beschikbaar via de GitHub repositories van zowel Citrix als FireEye", meldt eerstgenoemde leverancier in een vanmiddag verstuurd persbericht. Bij die twee downloadlocaties, op de door Microsoft overgenomen software-ontwikkelsite GitHub, kunnen gebruikers van Citrix-systemen de zogeheten 'Indicator of Compromise Scanner for CVE-2019-19781' downloaden. Deze is ontwikkeld door FireEye Mandiant, op basis van kennis die de securityleverancier heeft verkregen uit incident response-acties bij zijn klanten vanwege misbruik van dit Citrix-gat.

Data stelen, cryptominers draaien

De scantool is een bash-script dat op zichzelf staand is, en wat direct op een Citrix ADC-appliance uitgevoerd kan worden. "Kopiëren van de source directory naar een Citrix ADC-appliance is mogelijk, maar wordt niet aangeraden", valt te lezen in de readme van de gratis tool. In de standaardconfiguratie levert de scan als output of er bewijs is van compromise. Dit kan van alles zijn, uiteenlopend van uitgevoerde commando's die tot informatielekken leiden (of hebben geleid), tot het installeren van een backdoor of een cryptocoin-miner, tot het plaatsen van een Perl web-shell.

Naast de default output-optie kunnen gebruikers nog twee andere categorieën voor de output instellen. Dit zijn: bewijs van een succesvolle kwetsbaarhedenscan, en bewijs van een mislukte kwetsbaarhedenscan. Eerstgenoemde kan zijn uitgevoerd door een geautoriseerde systeembeheerder maar ook door een (ongeautoriseerde) aanvaller. "Bewijs dat in deze categorie valt, geeft aan dat het systeem in een kwetsbare staat was (dus dat de mitigation niet was toegepast), en dat in ieder geval de eerste stap voor misbruik van CVE-2019-19781 succesvol is uitgevoerd", waarschuwt Citrix.

Laatstgenoemde categorie voor output van de gratis kwetsbaarhedenscantool levert informatie op dat er pogingen om het systeem te scannen of te misbruiken zijn gedaan, maar dat die zijn mislukt. De tool moet met root-rechten worden gedraaid in de zogeheten live mode op een ADC-appliance, geeft Citrix aan.

Oproep tot hulp

De broncode is beschikbaar (onder de Apache 2.0-licentie) en Citrix hoopt dat de grondigheid van de detectie kan verbeteren door feedback vanuit de gemeenschap. Het roept daarvoor op tot het aankaarten van issues, het indienen van pull requests voor de GitHub-code, of het contacteren van de tool-ontwikkelaars. Vorige week is Citrix al door klanten geïnformeerd dat de op 17 december aangedragen mitigations onder bepaalde omstandigheden de kwetsbaarheid niet afdoende afdekken.

"Naast de eerder aanbevolen beveiligingsmaatregelen en de installatie van de permanente updates die deze week worden uitgebracht, raden Citrix en FireEye alle Citrix klanten sterk aan zo snel mogelijk gebruik te maken van deze tool, om meer inzicht te krijgen in hun kwetsbaarheid en de mogelijke gevolgen, zodat ze de juiste stappen kunnen nemen om zichzelf te beschermen", aldus de leverancier in het persbericht van deze middag.

Vrijdag volgende patchlading

Volgens de huidige planning komt Citrix eind deze week (vrijdag 24 januari) met de tweede, en laatste, lading patches voor dit grote beveiligingsgat. Dat is opgeschort ten opzichte van de eerdere planning waarbij pas op 27 en 31 januari patches zouden komen. Citrix heeft echter een versnelde tijdlijn ingesteld voor het uitbrengen van de patches voor de kritieke kwetsbaarheid. Dit heeft CISO Fermín J. Serna van de IT-leverancier zondagavond bekendgemaakt toen de eerste lading patches plots is uitgebracht.