image

Friese gemeenten schakelen Citrix-server uit na advies NCSC

vrijdag 17 januari 2020, 10:24 door Redactie, 23 reacties
Laatst bijgewerkt: 17-01-2020, 12:07

De Friese gemeenten Achtkarspelen en Tytsjerksteradiel hebben gisterenavond uit voorzorg besloten om hun Citrix-server voor bepaalde externe locaties uit te schakelen. Dat melden de gemeenten op hun eigen website. De maatregel volgt na advies van de Informatie Beveiliging Dienst (IBD) en het Nationaal Cyber Security Centrum (NCSC). Het NCSC adviseerde organisaties om het uitschakelen van hun Citrix ADC en Gateway servers te onderzoeken.

Aanleiding is een kwetsbaarheid in de software waardoor aanvallers het systeem kunnen overnemen en een beveiligingsupdate van Citrix is nog niet beschikbaar. Het softwarebedrijf kwam met mitigatiemaatregelen, maar waarschuwde dat die bij bepaalde versies niet werken. Het NCSC stelt zelfs dat er op dit moment voor alle versies van Citrix ADC en Citrix Gateway servers geen goede, gegarandeerd betrouwbare oplossing is.

"Tot het moment dat een patch beschikbaar is, adviseert het NCSC om inzichtelijk te maken wat de impact is van het uitzetten van de Citrix ADC en Gateway servers. Afhankelijk van de impact, adviseert het NCSC te overwegen de Citrix ADC en Gateway servers uit te zetten", aldus de overheidsinstantie. Wanneer het uitschakelen geen optie is wordt aangeraden om intensief te monitoren op mogelijk misbruik. Daarnaast kunnen organisaties kijken naar het whitelisten van ip-adressen.

Achtkarspelen en Tytsjerksteradiel besloten daarop hun Citrix-server gisterenavond uit te schakelen. Hierdoor kunnen medewerkers vanaf bepaalde externe locaties niet meer inloggen op de Citrix-omgeving. De server blijft uitgeschakeld totdat er een beveiligingsupdate beschikbaar is. Afhankelijk van de gebruikte versie van de software zal die op 20, 27 of 31 januari verschijnen.

Update

Ook andere Nederlandse gemeenten hebben hun Citrix-servers uitgeschakeld, waaronder Amsterdam, Rotterdam, het Brabantse Goirle en Halderberge en Beek in Limburg, zo meldt het AD. Den Haag had de servers uitgeschakeld, maar vanmorgen weer aangezet. De stad overweegt om ze voor het weekeinde weer uit te zetten.

Reacties (23)
17-01-2020, 10:46 door Erik van Straten
Te laat, zie https://www.security.nl/posting/639664/Aanvaller+verwijdert+malware+van+besmette+Citrix-servers.

Ga ervan uit dat in elk geval deze Citrix servers zijn gecompromitteerd. Laat zomogelijk een specialist een kopie van de huidige opslag maken (voor later onderzoek).

Wis alle gekoppelde opslagmedia geheel of vervang ze door nieuwe. Installeer vervolgens geheel opnieuw.

Ga er ook vanuit dat andere systemen zijn gecompromitteerd. Op z'n minst is extra monitoring op z'n plaats.
17-01-2020, 11:12 door Anoniem
Door Erik van Straten:
Ga ervan uit dat in elk geval deze Citrix servers zijn gecompromitteerd. Laat zomogelijk een specialist een kopie van de huidige opslag maken (voor later onderzoek).

Wis alle gekoppelde opslagmedia geheel of vervang ze door nieuwe. Installeer vervolgens geheel opnieuw.

Onze Citrix servers worden iedere nacht gereboot van een ongemodificeerd "golden image" waarna alle gedurende die
dag aangebrachte wijzigingen weer pleite zijn. Soms onhandig, maar voor dit soort dingen wellicht wel goed.
17-01-2020, 11:20 door blackbull
"bepaalde externe locaties uit te schakelen" als in alleen bepaalde IP adressen?
Is dat niet makkelijk te omzijlen met een VPN of eerst een ander systeem over te nemen?
17-01-2020, 11:23 door Anoniem
Door blackbull: "bepaalde externe locaties uit te schakelen" als in alleen bepaalde IP adressen?
Is dat niet makkelijk te omzijlen met een VPN of eerst een ander systeem over te nemen?
Als je maar een paar IP-reeksen gewhitelist hebt, is dat niet makkelijk te omzeilen met een VPN. Misschien wel als je eerst een ander systeem overneemt, maar dat verkleint de kans wel significant.
17-01-2020, 11:30 door Tintin and Milou
Door Erik van Straten: Te laat, zie https://www.security.nl/posting/639664/Aanvaller+verwijdert+malware+van+besmette+Citrix-servers.

Ga ervan uit dat in elk geval deze Citrix servers zijn gecompromitteerd. Laat zomogelijk een specialist een kopie van de huidige opslag maken (voor later onderzoek).

Wis alle gekoppelde opslagmedia geheel of vervang ze door nieuwe. Installeer vervolgens geheel opnieuw.

Ga er ook vanuit dat andere systemen zijn gecompromitteerd. Op z'n minst is extra monitoring op z'n plaats.
Waarom te laat? Als je gewoon de huidige Citrix responder vorig jaar geconfigureerd hebt, je netscaler op juiste firmware hebt. Dan ben je tot nu toe gewoon beveiligd.

Ik heb op Internet nog wel een extra responder rule gevonden, maar tot op heden nog geen hits op gehad.

Dus om er nu al van uit te gaan dat de Citrix servers (het is trouwens de Citrix ADC en niet "Citrx Servers") gecompromitteerd is een hele grote aanname.
17-01-2020, 11:40 door Anoniem
Door blackbull: "bepaalde externe locaties uit te schakelen" als in alleen bepaalde IP adressen?
Is dat niet makkelijk te omzijlen met een VPN of eerst een ander systeem over te nemen?
Geoblocking valt met een VPN inderdaad prima te omzeilen. Beter kan je "specifieke IP adressen op de whitelist plaatsen"...
17-01-2020, 11:42 door Erik van Straten
Door Anoniem: Onze Citrix servers worden iedere nacht gereboot van een ongemodificeerd "golden image" waarna alle gedurende die dag aangebrachte wijzigingen weer pleite zijn. Soms onhandig, maar voor dit soort dingen wellicht wel goed.
Welke garanties heb je dan dat onbevoegden niet zijn "binnengeweest" en toegang hebben gehad tot data op achterliggende systemen, of die achterliggende systemen zelf?

Zo'n Citrix server zelf zal immers zelden het doel zijn van aanvallers, het is een "jump stone" - niet alleen voor geautoriseerde gebruikers.

Ik hoop wel dat jullie alle logging naar een, vanuit zo'n server gezien "write only", logsysteem sturen.
17-01-2020, 11:53 door Erik van Straten
Door Tintin and Milou: Dus om er nu al van uit te gaan dat de Citrix servers (het is trouwens de Citrix ADC en niet "Citrx Servers") gecompromitteerd is een hele grote aanname.
Wellicht groot, maar gezien de omstandigheden de veiligste. Heb je het artikel gelezen waar ik naar verwees?

Geleerd tijdens scheikunde op de middelbare school: alles is giftig totdat is aangetoond dat het niet giftig is.

Activiteiten van script kiddies zijn vaak achteraf wel te detecteren, doorgewinterde aanvallers weten waar experts naar zoeken en zullen op alle mogelijke manieren proberen om een lastig te ontdekken achterdeurtje te ontsluiten - dat ook van binnen naar buiten verbindingen kan initiëren (ook via minder opvallende protocollen waaronder DNS en ntp). Daarnaast kan het voldoende zijn om de inloggegegevens van één of meer geautoriseerde gebruikers af te kijken, dan alles op te ruimen, en later toe te slaan. Na herinstallatie zou ik dus ook alle wachtwoorden resetten.
17-01-2020, 12:38 door Anoniem
Door Tintin and Milou:
Door Erik van Straten: Te laat, zie https://www.security.nl/posting/639664/Aanvaller+verwijdert+malware+van+besmette+Citrix-servers.

Ga ervan uit dat in elk geval deze Citrix servers zijn gecompromitteerd. Laat zomogelijk een specialist een kopie van de huidige opslag maken (voor later onderzoek).

Wis alle gekoppelde opslagmedia geheel of vervang ze door nieuwe. Installeer vervolgens geheel opnieuw.

Ga er ook vanuit dat andere systemen zijn gecompromitteerd. Op z'n minst is extra monitoring op z'n plaats.
Waarom te laat? Als je gewoon de huidige Citrix responder vorig jaar geconfigureerd hebt, je netscaler op juiste firmware hebt. Dan ben je tot nu toe gewoon beveiligd.

Ik heb op Internet nog wel een extra responder rule gevonden, maar tot op heden nog geen hits op gehad.

Dus om er nu al van uit te gaan dat de Citrix servers (het is trouwens de Citrix ADC en niet "Citrx Servers") gecompromitteerd is een hele grote aanname.

De meest recente versie van Citrix ADC is versie 13.0
https://www.citrix.com/downloads/citrix-adc/

En versie 13.0 staat wel in dit lijstje:
https://www.bleepingcomputer.com/news/security/citrix-adc-cve-2019-19781-exploits-released-fix-now/

En de eerste "Mitigation Steps for CVE-2019-19781" geeft aan "Citrix ADC", lees "alle versies":
https://support.citrix.com/article/CTX267679
Daaruit leid ik af dat alle versies van Citrix ADC kwetsbaar zijn.

".. Ik heb op Internet nog wel een extra responder rule gevonden, maar tot op heden nog geen hits op gehad .."
Dus je bent wel kwetsbaar, maar (nog) niet aangevallen? Sinds wanneer log je op die "extra responder rule"? Is er ook eerder geen backdoor achtergelaten voor later gebruik door de aanvaller?

Ik zou echt de boel loskoppelen van internet,als dat maar enigszins mogelijk is, zoals de NCSC aangeeftin dit artikel.
17-01-2020, 13:40 door tbt
Los van de workaround of andere fixes, op tijd of niet.

Ik mag toch aannemen dat ieder bedrijf met een Citrix Netscaler of ADC deze in een DMZ vlan heeft staan?

En dat vanaf dit apparaat niet het gehele netwerk te bereiken is, maar dat de Firewall dusdanig is ingericht dat alleen de broodnodige protocollen zijn toegestaan naar de broodnodige locaties op het netwerk? En dat de toegestane protocollen secure zijn?

Te kort door de bocht of... ?
17-01-2020, 14:08 door Erik van Straten
Door Timt: Te kort door de bocht of... ?
Wat denk je zelf, als het om een systeem gaat waar gebruikers (en/of apparaten) op moeten inloggen en, als dat succesvol is, toegang krijgen tot achterliggende systemen?

Wat doe je met een (omgekochte, bedreigde of zelf crimenele) portier die de verkeerde mensen binnenlaat?
17-01-2020, 15:38 door tbt
Door Erik van Straten:
Wat denk je zelf, als het om een systeem gaat waar gebruikers (en/of apparaten) op moeten inloggen en, als dat succesvol is, toegang krijgen tot achterliggende systemen?

Ik denk van niet, want ook daarvoor moeten de gebruikers zich weer autoriseren voodat ze daarbij kunnen.


Wat doe je met een (omgekochte, bedreigde of zelf crimenele) portier die de verkeerde mensen binnenlaat?
Wat doe jij met een gastheer die mensen binnen laat en opsluit in de hal?
17-01-2020, 15:57 door Erik van Straten
Door Timt:
Door Erik van Straten: Wat denk je zelf, als het om een systeem gaat waar gebruikers (en/of apparaten) op moeten inloggen en, als dat succesvol is, toegang krijgen tot achterliggende systemen?

Ik denk van niet, want ook daarvoor moeten de gebruikers zich weer autoriseren voodat ze daarbij kunnen.
Ken jij het product goed genoeg om zeker te weten dat, indien de "stepping stone" is gecompromitteerd, aanvallers niet kunnen zie welke credentials users/devices gebruiken tijdens het inloggen op volgende systemen (als dat al in alle gevallen noodzakelijk is)?

Zelfs als een aanvaller op deze manier "slechts" gebruikersnamen (en geen wachtwoorden) kan achterhalen, heb je waarschijnlijk al een flink probleem. Want de meeste mensen gebruiken nog veel zwakkere wachtwoorden voor "binnen" dan voor internet-facing systemen (waar sterkere wachtwoorden meestal worden afgedwongen, en waarbij vaak ook nog eens van 2FA gebruik gemaakt wordt - in tegenstelling tot volgende systemen.

Last but not least: als het niet uitmaakt of zo'n systeem gecompromitteerd is, waarom zet je het dan überhaupt in? En waarom raadt NCSC aan om ze uit te zetten? En waarom hebben MCL en Zutphen hun systemen - nadat ze waren gehacked - uitgezet? Zo'n systeem vormt toch meestal (zo niet altijd) je belangrijkste beschermlaag?

Door Timt:
Door Erik van Straten: Wat doe je met een (omgekochte, bedreigde of zelf crimenele) portier die de verkeerde mensen binnenlaat?
Wat doe jij met een gastheer die mensen binnen laat en opsluit in de hal?
Ik snap jouw vergelijking niet, maar ik zou 112 bellen en een gijzeling melden.
17-01-2020, 16:18 door Anoniem
Even een oprechte (maar misschien domme?) vraag buiten deze kwetsbaarheid:
Als gebruiker heb ik eigenlijk alleen maar slechte ervaringen met citrix, wat maakt citrix zo populair? Zijn er geen alternatieven?
17-01-2020, 17:32 door Briolet - Bijgewerkt: 17-01-2020, 17:32
Vanochtend waren het slechts twee kleine gemeenten in Friesland, maar in de loop van de dag volgden nog de hoofdsteden van Noord- en Zuid-Holland en ook de tweede kamer:

https://www.ad.nl/tech/na-gemeenten-schakelt-ook-tweede-kamer-uit-voorzorg-kwetsbare-citrix-servers-uit~af9a2216//
17-01-2020, 18:02 door Anoniem
Door Briolet: Vanochtend waren het slechts twee kleine gemeenten in Friesland, maar in de loop van de dag volgden nog de hoofdsteden van Noord- en Zuid-Holland en ook de tweede kamer:

https://www.ad.nl/tech/na-gemeenten-schakelt-ook-tweede-kamer-uit-voorzorg-kwetsbare-citrix-servers-uit~af9a2216//
Leuk artikel. Heb wel wat vragen over de kwaliteit

De fout zit in twee diensten van Citrix: de Application Delivery Controller en de Gateway.
Volgens mij is het product "Application Delivery Controller" en dan in de dienst Gateway voornamelijk.

De Universiteit Leiden heeft daarnaast moeite om zijn website in de lucht te houden. De site krijgt veel meer verkeer dan anders te verwerken en is daardoor instabiel. Vanuit het buitenland is de site voorlopig niet te bezoeken. Het gaat volgens de universiteit niet om een ddos-aanval, maar onderzoek moet duidelijk maken wat er aan de hand is en of er een verband is met de problemen bij Citrix.
Klinkt als een Cryptominer?
17-01-2020, 19:27 door Anoniem
N.a.v. De write-up van deze site https://www.mdsec.co.uk/2020/01/deep-dive-to-citrix-adc-remote-code-execution-cve-2019-19781/ het voorbeeld exploit script getest. Deze werkt nog tegen de admin pagina (nsip) op versie 13 na uitvoeren van de mitigatie. Mijn advies: zet de netscaler uit of zorg dat ook de management pagina niet bereikbaar is, ook niet intern. (Ja ik ken gevallen dat de nsip publiek bereikbaar is...)
17-01-2020, 20:50 door souplost - Bijgewerkt: 17-01-2020, 21:10
Door Anoniem: Even een oprechte (maar misschien domme?) vraag buiten deze kwetsbaarheid:
Als gebruiker heb ik eigenlijk alleen maar slechte ervaringen met citrix, wat maakt citrix zo populair? Zijn er geen alternatieven?
Hele goeie vraag. Ik heb zelf Citrix nog nooit ergens goed zien werken. Er zijn diverse SSLVPN's van een andere leverancier maar windows beheerders grijpen altijd naar Citrix ( 2 handen op 1 buik). Hoort een beetje bij de windows monocultuur.
Check ook https://openvpn.net/vpn-software-packages/
18-01-2020, 00:00 door Anoniem
Vanavond wer dus op DWDD dit onderwerp in
Jip en Janneke taal besproken. Wat me wel opviel dat er gewoon
grote bedrijven bij naam genoemd werden..Shell..Boskalis...en luchtverkeersleiding Nederland. denken die bedrijven nu niet..wrf..waarom gooi je onze naam te grabbel. Het is een citrix lek, maar de eenvoudige mens wil snel een schuldige aanwijzen en denkt dan snel..owww..ik ga wel bij de Texaco of BP pinnen..daar liggen voorlopig iig mijn gegevems niet op straat.
18-01-2020, 00:20 door RosaMystica
De lijst wordt alleen maar langer:

Ook andere gemeenten hebben Citrix uitgeschakeld: Tilburg, Leeuwarden, Arnhem, Amstelveen, Doetinchem, Baarn, Dronten, Meerssen, Achtkarspelen, Tytsjerksteradiel, Goirle, Halderberge, Gilze en Rijen, Baarle-Nassau, Beek, Waalwijk, Medemblik en Heerde. Het is nog niet bekend wanneer de gemeenten de verbinding met hun servers, en dus hun diensten, herstellen. Ook Schiphol en Tweede Kamer schakelen Citrix uit.

Ook medewerkers en studenten van universiteiten en hogescholen kunnen voorlopig niet op afstand werken. Onder meer de Universiteit Leiden en de Vrije Universiteit in Amsterdam hebben hun Citrix-servers tijdelijk afgesloten. De Universiteit Utrecht beperkt de toegang van een aantal applicaties vanuit het buitenland.

https://www.telegraaf.nl/nieuws/394086599/citrix-legt-tweede-kamer-schiphol-en-gemeenten-lam-dit-is-het-probleem
18-01-2020, 00:31 door Anoniem
De fout zit in twee diensten van Citrix: de Application Delivery Controller en de Gateway.
Volgens mij is het product "Application Delivery Controller" en dan in de dienst Gateway voornamelijk.

De productnaam is Citrix Gateway. Kijk maar eens in de metadata van Citrix executables.
18-01-2020, 15:22 door Anoniem
ik vraag me af... zou dit nu laatst dan ook de 'initiele vector' geweest zijn in maastricht?
18-01-2020, 18:00 door Anoniem
Door Anoniem:
De fout zit in twee diensten van Citrix: de Application Delivery Controller en de Gateway.
Volgens mij is het product "Application Delivery Controller" en dan in de dienst Gateway voornamelijk.

De productnaam is Citrix Gateway. Kijk maar eens in de metadata van Citrix executables.

Productnamen worden bij Citrix regelmatig veranderd. Daar heb je dus niks aan. Wat vandaag Piet heet, heet morgen Klaas.
Geen idee wat daar achter zit maar naar mijn mening kan het nauwelijks wat positiefs zijn.
Nu de naam Netscaler en ADC wereldwijd besmet is zullen ze die binnenkort ZEKER wel een andere naam geven!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.