Beheer

IT beheer
Citrix

Ook experts adviseren: schakel Citrix-servers indien mogelijk uit

Eerste patches verschijnen pas na het weekend.

17 januari 2020

Eerste patches verschijnen pas na het weekend.

Het Nationaal Cyber Security Centrum (NCSC) adviseert om Citrix-servers waar mogelijk uit te schakelen. De servers zijn kwetsbaar door een lek in de Application Delivery Controller (ADC) en Gateway. Pas na het weekend worden de eerste patches verwacht. Maar kun je zo'n server in de tussentijd wel zomaar uitschakelen?

De producten van Citrix worden gebruikt om op afstand in te loggen op bedrijfssystemen. Op die manier kunnen mensen die thuis werken bijvoorbeeld alsnog bij de bedrijfsapplicaties om hun werk te doen. Maar deze producten blijken nu dus kwetsbaar. 

"Tot het moment dat een patch beschikbaar is, adviseert het NCSC om inzichtelijk te maken wat de impact is van het uitzetten van de Citrix ADC en Gateway servers. Afhankelijk van de impact, adviseert het NCSC te overwegen de Citrix ADC en Gateway servers uit te zetten", luidde het advies van het NCSC gisteravond. Diverse gemeenten, waaronder de gemeente Amsterdam en Rotterdam, namen dat advies ook over en schakelden de servers uit voorzorg uit. Maar dat kan niet overal. 

Experts laten tegenover AG Connect weten dat het advies van het NCSC wel het beste advies is. "Aangezien de Citrix workaround niet in alle gevallen helpt om het lek te dichten, vind ik het niet meer dan logisch dat er dit soort verre gaande maatregelen worden getroffen", vertelt Paul Smit, Sales Engineer bij beveiligingsbedrijf Bitdefender.

Uitschakelen kan niet altijd

Het uitschakelen van de servers komt echter wel met een flinke impact. Door de servers uit te zetten kunnen medewerkers buiten het bedrijf immers niet meer bij bedrijfsapplicaties. "Maar vaak kun je nog wel e-mailen via een webportaal, dus het is niet zo dat medewerkers helemaal niets doen."

Maar er zijn ook bedrijven die deze maatregel helemaal niet kunnen nemen, vertelt Security Consultant Jelle Mulckhuijse van Sincerus. "Sommige bedrijven hebben een heel groot deel van hun kritieke infrastructuur op deze servers zitten. Er zijn bijvoorbeeld hulpdiensten die dit gebruiken. Het is dus wel belangrijk om eerst te bepalen wat de impact precies is, zeker als er mensenlevens op het spel staan."

Het NCSC adviseert om intensief te monitoren op mogelijk misbruik als de servers niet uitgeschakeld kunnen worden. "Dat is het advies wat wij ook aan onze klanten geven", aldus Mulckhuijse. 

Patch komt na het weekend pas

Citrix heeft op zijn website laten weten dat de eerste patches wel onderweg zijn. Wanneer die verschijnen, hangt af van welke versie van Citrix ADC en Gateway wordt gebruikt. De eerste patch wordt op 20 januari verwacht, dus na het weekend pas. Dat is vervelend, want juist in het weekend worden pieken in aanvallen verwacht.

"De exploit is kinderlijk eenvoudig te misbruiken", vertelt Mulckhuijse. "Ik verwacht daarom dat mensen die wij 'scriptkiddies' noemen dit weekend veelal gaan proberen het probleem te misbruiken." Om dat zoveel mogelijk te voorkomen publiceerde Citrix eerder al mitigerende maatregelen. "Maar die helpen alleen tegen de grote scanners waarmee je kwetsbare servers kunt vinden en automatisch kunt exploiten. Je kunt dus met handmatig werk om die maatregelen heenkomen."

Bovendien blijken die maatregelen niet voor alle versies te werken. De maatregelen werken in ieder geval niet bij versie 12.1 in builds voor 51.16/51.19 en 50.31. Bedrijven die deze versie gebruiken, worden aangeraden hem te upgraden. Toch zal lang niet iedereen dat doen, verwacht Smit. "Ik kan me voorstellen dat dit niet door alle beheerders wordt gedaan, maar dat er wordt gewacht op een daadwerkelijke patch die helaas pas vanaf 20 januari verwacht wordt."

Eerst testen, dan patchen

Hoewel er vaak geadviseerd wordt om een patch direct te installeren als deze verschijnt, raadt Mulckhuijse aan eerst een tussenstap te doen. "Je weet niet wat de impact van zo'n patch is. Citrix test de patch in zoveel mogelijk scenario's, maar ze kunnen ze nooit alles helemaal afdekken. Voor hetzelfde geld heb jij net dat ene scenario waarbij het fout gaat en haal je alsnog systemen offline." Mulckhuijse adviseert daarom om patches eerst te testen in een testomgeving en ze daarna pas in de echte, live omgeving te gaan draaien. 

Voor een aantal versies van Citrix laat een patch nog langer op zich wachten. Zo verschijnt de patch voor versie 12.1 - waar de mitigerende maatregelen dus niet bij werken - pas op 27 januari. Versie 10.5 krijgt zelfs op 31 januari pas een patch.

Mulckhuijse adviseert bedrijven die versies gebruiken die pas later een update krijgen, te updaten naar een variant die op 20 januari al een patch krijgen. Dat zijn versie 11.1 en 12.0.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.