Verse Citrix-gaten ontdekt, patches nu beschikbaar

Het op dinsdag 7 juli gepubliceerde security-bulletin van Citrix onthult dat er meerdere kwetsbaarheden zijn ontdekt  Citrix ADC (voorheen bekend onder de naam NetScaler ADC), Citrix Gateway (voorheen NetScaler Gateway) en diverse uitvoeringen van de Citrix SD-WAN WANOP appliances (modellen: 4000-WO, 4100-WO, 5000-WO en 5100-WO). Deze netwerkapparaten lopen risico van hackingaanvallen waarbij systeemrechten zijn te verkrijgen door ongeautoriseerde gebruikers.

Via de beheerroute

Het gaat hierbij om aanvallen op of via het beheernetwerk of de beheerinterface voor de Citrix-apparatuur. De leverancier geeft in zijn bulletin (CTX276688) aan dat er sprake is van flink kleiner risico als klanten hun systemen correct hebben geconfigureerd. Namelijk volgens de aanbevelingen die Citrix doet voor veilige deployment. Naast het grote gevaar van systeemcompromittering via de beheerinterface is er ook nog risico via Virtual IP. Daarlangs valt een DoS-aanval (denial-of-service) uit te voeren of remote portscanning van het interne netwerk wat zich 'achter' een kwetsbare Citrix-gateway bevindt.

Voor alle elf kwetsbaarheden heeft Citrix nu patches beschikbaar. Klanten krijgen het dringende advies om deze fixes toe te passen. In een aparte blogpost geeft CISO Fermín Serna een toelichting op deze kwestie van nieuwe beveiligingsgaten die Citirx-klanten raken. "Standaardprocedure voor de meeste softwarebedrijven in het adviseren van klanten over kwetsbaarheden is beperkt tot de publicatie van het bulletin en gerelateerde CVE's", begint de securitytopman. "In dit geval, om verwarring te vermijden en de mogelijkheid te beperken van verkeerde interpretatie in de industrie en onder onze klanten, gebruik ik deze plek om kort aanvullende context te bieden."

Nu wel gelijk patches uit

De hoogste securitybaas bij Citrix geeft hierbij aan dat de nieuwste, vandaag uitgebrachte patches alle 'issues' volledig verhelpen. Verder zijn er van de elf kwetsbaarheden maar zes die mogelijke aanvalsroutes bieden. Bovendien zijn er voor vijf van die zes barrières aanwezig voor succesvol misbruik door kwaadwillenden. Hierbij gaat het bijvoorbeeld om configuraties waarbij onvertrouwd verkeer niet is toegestaan op het beheernetwerk of via de beheerinterface. Systemen die zijn ingericht volgens de aanbevelingen van Citrix hebben hun beheerinterface al gescheiden van het reguliere netwerk, en beschermd door een firewall.

Verder zijn cloudversies van Citrix' netwerkproducten níet kwetsbaar en is de leverancier zich "niet bewust van exploitation van deze issues", schrijft Serna nog. Hij benadrukt nog dat deze kwetsbaarheden niet gerelateerd zijn aan het grote gat (CVE-2019-19781) van eind vorig jaar. Voor die kwetsbaarheid had Citrix toen niet direct een patch klaar, maar had het wel beperkende maatregelen (mitigations) gepubliceerd. Dit omdat er toen een grote kans was van misbruik in de praktijk, waardoor haast was geboden. "Dat staat in scherp contrast met de huidige situatie."

Nederlandse ontdekkers

In totaal hebben zes security-onderzoekers nu deze verse kwetsbaarheden ontdekt en gemeld bij Citrix. Daaronder bevinden zich de Nederlanders Maarten Boone en Donny Maasland. Zij worden samen met de anderen genoemd in het security-bulletin van Citrix. De leverancier informeert nu klanten en wederverkopers van zijn systemen (de zogeheten channel partners).