'Ook niet-lakse Citrix-gebruikers moeten van hack uitgaan'

Afhankelijk van de gebruikte Citrix-versie (inclusief specifiek build-nummer) en afhankelijk van hoe goed de mitigations zijn doorgevoerd, kan een organisatie er "redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd".

Het was al bekend dat sommige van de beperkende maatregelen die Citrix heeft aangedragen niet in alle gevallen bescherming bieden. De mitigations die de leverancier op 17 december naar buiten heeft gebracht, zijn in sommige gevallen niet goed doorgevoerd en daardoor niet in staat om misbruik van de toen onthulde kwetsbaarheid te voorkomen. Het Nederlandse NCSC (Nationaal Cyber Security Centrum) stelt dat bepaalde gebruikers van de kwetsbare systemen er van uit moeten gaan dat ze al gehackt zijn. Óók als ze wel stappen hebben genomen ter beperking van deze beveiligingskwestie.

Specifieke gevallen

Het gaat in dit geval om gebruikers van de relatief recente versie 12.1 van Citrix' kwetsbaar gebleken software. Dit zijn de Citrix Application Delivery Controller (ADS) en de Citrix Gateway. Naast die twee producten (in versies 10.5 tot en met 13.0) is ook de Citrix-appliance SD-WAN WANOP kwetsbaar, in twee oudere versies (10.2.6 en 11.0.3). Terwijl zondagavond de eerste patches zijn uitgebracht, voor 'tussenliggende' versies (11.1 en 12.0) van de ADS- en Gateway-software, moeten Citrix-gebruikers wereldwijd nog tot vrijdag wachten op updates die het gat moeten dichten.

Daaronder ook gebruikers die al wel beperkende maatregelen van Citrix hebben doorgevoerd, maar dat mogelijk niet volledig hebben gedaan en dus toch hackbaar zijn. Volgens het NCSC moet deze organisaties de aanname maken dat ze al succesvol zijn gehackt. De specifieke build 50.28 (uitgebracht op 28 november 2018) van de 12.1-release blijkt namelijk een fout te bevatten die de effectiviteit van de aangereikte mitigations inperkt.

Ontdekt door klanten

Citrix heeft dit afgelopen donderdag (16 januari) te horen gekregen van klanten, en dat vrijdag naar buiten gebracht. Daarbij heeft de leverancier aanvullende instructies gegeven, om de managementinterface ook te beveiligen tegen misbruik van de kwetsbaarheid. "Wij betreuren deze onoplettendheid zeker, en hebben [informatie-bulletin - red.] CVE-2019-19781 bijgewerkt om deze informatie weer te geven", schrijft CISO Fermín J. Serna van Citrix in zijn blogpost.

Het NCSC merkt hierover nu op: "Als u deze versie in gebruik heeft, dient u te controleren of u de mitigerende maatregelen volledig en op de juiste manier heeft doorgevoerd, inclusief de maatregelen voor bescherming van de managementinterface". Als Citrix-gebruikers van de specifieke build (50.28) van deze specifieke softwareversie (12.1) de maatregelen niet goed hebben doorgevoerd, dus compleet met de aanvullende bescherming van de beheerinterface, dan lopen zij niet alleen theoretisch risico. Het NCSC stelt dat deze gebruikers er redelijkerwijs van uit kunnen gaan dat hun systemen zijn gecompromitteerd.

Behalve ververste en nieuwere build

Uitzondering is er voor gebruikers die een net-nieuwere build van de 12.1-release gebruiken. Dit zijn de 'refreshed 12.1 build 50.28' en build 50.31, die beiden op 23 januari 2019 zijn uitgebracht. Voor alle kwetsbare softwareversies van de drie Citrix-producten moeten aanstaande vrijdag alle patches uit zijn. De 'extra kwetsbare' versie 12.1 (in build 50.28) krijgt dan ook definitieve bescherming.

Het NCSC heeft de waarschuwing van 'al gehackt zijn' ook gegeven voor Citrix-gebruikende organisaties die de beperkende maatregelen níet of niet op tijd hebben doorgevoerd. "Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits." Die mededeling is gedaan in het advies om de zondagavond uitgekomen patches te installeren.

Risicoafweging

Het NCSC biedt nu ook een stroomdiagram aan waarmee beheerders en bestuurders voor hun organisaties de risicoafweging van het Citrix-gat kunnen maken. De aangeboden download van dit stroomdiagram is in PDF-formaat, de getweette afbeelding is van relatief lage resolutie en niet optimaal leesbaar.