Weer kritieke gaten in Citrix-systemen, met actief misbruik

"Een ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheid misbruiken voor het uitvoeren van willekeurige code. Hiertoe dient malafide netwerkverkeer naar het kwetsbare systeem te worden verstuurd", meldt het NCSC van de Nederlandse overheid. Ook de Amerikaanse inlichtingendienst NSA geeft nu een waarschuwing af: door China gesteunde groepen zouden hierlangs nu gerichte hackaanvallen uitvoeren.

Hoog/hoog

Het NCSC merkt nog wel op dat Gateway- en ADC-systemen alleen kwetsbaar zijn wanneer ze zijn geconfigureerd als SAML Service Provider (SP) of SAML Identity Provider (IdP). Toch is de kwetsbaarheid in deze Citrix-systemen ingeschaald op hoog voor de kans op misbruik én hoog voor de daardoor mogelijke schade.

De NSA heeft een rapport gepubliceerd dat organisaties ondersteunt bij het detecteren van misbruik. Deze 'threat hunting guidance' moet bedrijven en overheidsinstanties in staat stellen om te bepalen of en zo ja in hoeverre hun ICT-omgevingen zijn gecompromitteerd via dit nieuwe Citrix-gat (CVE-2022-27518). "Zelfs als je geen enkele indicatie van kwaadaardige activiteit hebt, zorg ervoor dat je Citrix ADC-appliances de huidige versie draaien met de nieuwste updates", adviseert de NSA.

Updaten!

Citrix heeft dus al kritieke updates uitgebracht voor de getroffen producten. Dat zijn Citrix ADC en Citrix Gateway in de versies 12.1 (inclusief FIPS en NDcPP) en 13.0 vóór versie 13.0-58.32 van de ADC en Gateway. Versie 13.1 is niet kwetsbaar, aldus de leverancier

Klanten die door Citrix beheerde clouddiensten gebruiken en klanten zie Adaptive Authentication gebruiken, hoeven geen actie te ondernemen. De nu uitgebrachte update is voor appliances van Citrix die klanten zelf beheren. De kwetsbaarheden in deze producten zijn volgens Citrix gevonden door eigen, intern onderzoek en in samenwerking met securitypartners - die het niet nader benoemt.

Citrix-ramp 2019/2020

Deze nieuwste kritieke kwetsbaarheid in Citrix-producten komt bijna drie jaar na de grote securityramp met diezelfde producten van diezelfde leverancier. Vlak voor kerst 2019 zijn kritieke kwetsbaarheden in ADC en Gateway ontdekt, geopenbaard en niet gelijk goed gepatched. Vervolgens bleek er sprake van ongepatchte maar ook onterecht veilig geachte Citrix-installaties. Aanvallers zijn daar gretig op gesprongen waarna bedrijven en overheden vergaande maatregelen hebben genomen, zoals het zelf uitschakelen van systemen.