image

CISA publiceert tool die scant of Citrix-servers kwetsbaar zijn

dinsdag 14 januari 2020, 11:45 door Redactie, 8 reacties
Laatst bijgewerkt: 14-01-2020, 15:49

Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid, dat eerder nog bekend stond als US-CERT, heeft een tool uitgebracht waarmee organisaties kunnen testen of er binnen hun netwerk kwetsbare Citrix-servers worden gebruikt.

Een kwetsbaarheid in de Citrix Application Delivery Controller (ADC) en Citrix Gateway, die respectievelijk bekend stonden als de NetScaler ADC en NetScaler Gateway, maakt het mogelijk voor aanvallers om het systeem volledig over te nemen en mogelijk het achterliggende netwerk aan te vallen. De kwetsbaarheid werd vorige maand door Citrix bekendgemaakt, maar een update is nog altijd niet beschikbaar. Wel heeft het bedrijf mitigatiemaatregelen gepubliceerd.

Desondanks vonden onderzoekers wereldwijd meer dan 25.000 kwetsbare Citrix-servers die vanaf het internet toegankelijk zijn, waaronder 713 in Nederland. Inmiddels zijn er exploits online verschenen die misbruik van de kwetsbaarheid maken en wordt er actief door aanvallers naar kwetsbare servers gezocht. Het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid riep organisaties op om maatregelen te nemen.

Via de tool van het CISA kunnen organisaties controleren of ze risico lopen. Een vereiste is wel de aanwezigheid van Python. Naar verwachting zal Citrix volgende week met een beveiligingsupdate komen. Volgens beveiligingsonderzoeker Florian Roth kunnen organisaties die de mitigatiemaatregelen niet voor het uitkomen van de exploit hebben doorgevoerd eigenlijk hun Citrix-systemen niet meer vertrouwen.

Update

Cisco heeft voor het network intrusion detection/prevention system (IDS/IPS) Snort nieuwe regels uitgebracht om Citrix-systemen tegen aanvallen te beschermen.

Image

Reacties (8)
14-01-2020, 11:58 door Anoniem
The bad news is that even if you’ve patched your systems Monday morning, strictly speaking, you can’t trust them anymore.

Dat zou dan voor elke 0-day gelden.
14-01-2020, 12:40 door Anoniem
Door Anoniem: The bad news is that even if you’ve patched your systems Monday morning, strictly speaking, you can’t trust them anymore.

Dat zou dan voor elke 0-day gelden.

Alleen die met RCE in privileged context.
14-01-2020, 15:02 door Anoniem
Ja even een tool downloaden van de Amerikaanse overheid om te kijken of je een kwetsbaar server hebt, dat is een goed idee.
14-01-2020, 16:23 door Anoniem
Door Anoniem:
Door Anoniem: The bad news is that even if you’ve patched your systems Monday morning, strictly speaking, you can’t trust them anymore.

Dat zou dan voor elke 0-day gelden.

Alleen die met RCE in privileged context.
Dat, en dit is geen zero-day. Er zaten iets van 3 weken tussen het moment dat de kwetsbaarheid bekend was en er mitigerende maatregelen gepubliceerd waren, en het moment dat er publieke exploits waren. Als je gedurende die 3 weken gepatcht hebt, is de kans aanzienlijk kleiner dat je gepwnd bent dan wanneer je wacht tot er publieke exploits beschikbaar zijn.

Theoretisch gezien heb je gelijk dat dat geldt voor elke zero-day, maar de kans dat iets misbruikt wordt is aanzienlijk groter als er publieke exploits beschikbaar zijn.
14-01-2020, 16:23 door Anoniem
Door Anoniem: Ja even een tool downloaden van de Amerikaanse overheid om te kijken of je een kwetsbaar server hebt, dat is een goed idee.

Je hebt gezien dat het op github staat en dat iedereen hem in kan zien toch?
15-01-2020, 10:32 door Anoniem
Een kwetsbaarheid in de Citrix Application Delivery Controller (ADC) en Citrix Gateway, die respectievelijk bekend stonden als de NetScaler ADC en NetScaler Gateway
Het is wel het handelsmerk van Citrix om bij iedere release alle componenten weer een andere naam te geven!
Net of daar iemand wat mee opschiet, het veroorzaakt alleen maar verwarring en rare situaties in naamgeving van
systemen enzo.
Waarom renamen ze het bedrijf zelf niet?
16-01-2020, 12:48 door Anoniem
Door Anoniem: The bad news is that even if you’ve patched your systems Monday morning, strictly speaking, you can’t trust them anymore.

Dat zou dan voor elke 0-day gelden.

Je ken geen enkel systeem vertrouwen waarvan je niet alle interacties kan vertrouwen.

Was het installatiemedium te vertrouwen?
was de systeembeheerder te vertrouwen?
Was alle software ooit geïnstalleerd te vertrouwen?
Was alle data die ooit op het systeem werd opgeslagen te vertrouwen?
Waren alle connecties ooit met het systeem, en door het systeem, gemaakt te vertrouwen?

Een vertrouwens"garantie" is iets dat je quasi nooit kan geven, wel een risico analyse die zet dat het waarschijnlijk, of onwaarschijnlijk, is dat een systeem te vertrouwen is. (En alles ertussenin.)
16-01-2020, 13:02 door Anoniem
Is er geen online testtool of een "portable" test (een los scriptje) die je gewoon kunt uitvoeren zonder een "pip install" te hoeven doen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.