Citrix waarschuwt voor actief aangevallen zerodaylek in ADC en Gateway
Softwarebedrijf Citrix waarschuwt voor een actief aangevallen zerodaylek in Citrix ADC en Gateway waardoor een ongeauthenticeerde aanvaller kwetsbare servers kan overnemen. Voor de kwetsbaarheid, aangeduid als CVE-2023-3519, verschenen gisteren beveiligingsupdates. Organisaties worden door Citrix opgeroepen om de beschikbaar gestelde patches zo snel mogelijk te installeren.
Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall.
Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren.
Details over de aanvallen zijn niet door Citrix gegeven, behalve dat ze ongeauthenticeerde remote code execution mogelijk maken. De impact van het zerodaylek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De updates die Citrix gisteren uitbracht verhelpen ook nog twee andere kwetsbaarheden, waaronder een lek dat een aanvaller de mogelijkheid geeft om zijn rechten te verhogen naar die van root administrator.
Citrix meldt verder dat NetScaler ADC en NetScaler Gateway versie 12.1 end of life zijn en niet meer met beveiligingsupdates worden ondersteund. Klanten moeten dan ook naar een nieuwere versie upgraden om tegen de kwetsbaarheden beschermd te zijn.
Volgens die redenatie moeten we dus af stappen van alle IT systemen. Want ze hebben allemaal bugs. Sommige meer en vaker dan anderen. Maar waar ligt de grens ? Bij 1 of bij 10 rode kaarten ?
Die afweging kun jij helemaal niet maken voor anderen. Dat zal iedere organisatie zelf moeten doen, omdat het nogal wat kan betekenen om 'even met Citrix' te stoppen.
Leg je er gewoon bij neer dat er bugs zijn en zullen blijven zijn. Richt je patch-process goed in, onderneem actie waar nodig en maak inderdaad die afweging als het te gek wordt met merk X of Y. Maar gaan zitten zeuren en zeiken dat je ergens mee moet stoppen omdat er weer een bug is gevonden heeft totaal geen zin. Net zoals zeuren dat het regent, of dat je weer een jaartje ouder bent geworden. Dat gaat vanzelf. That's life.
En dan? Cisco of Juniper er voor zetten?
Die hebben ook lekken.
Die maatregel blijkt helaas nogal wat lekken te bevatten.
Wellicht zou je er in sommige gevallen extern wat aan kunnen doen, maar daarvoor is de gepubliceerde informatie onvoldoende. Dus dan kun je niet veel anders dan misschien een lijst van toegelaten netwerken waar je gebruikers in zitten, en dat is nogal onderhouds onvriendelijk.
https://www.security.nl/posting/640389/Grapperhaus%3A+Nederland+geprezen+voor+Citrix-aanpak. Ben benieuwd of de demissionaire minister van digitalisering bestookt gaat worden met kamervragen hierover.
Kijk uit met de upgrade van versie 12.1 naar 13.1 .... in 13.1 werkt bepaalde legacy configuratie niet en moet je eerst zorgen dat de legacy config omgezet word naar de nieuwe methodes met een aparte tool.
Dit upgrade pad ging hier mis.
Je kunt beter naar de laatste 13.0 gaan als je nog op 12.1 zit. Dat werkt vlekkeloos
En dan? Cisco of Juniper er voor zetten?
Die hebben ook lekken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.