image

Citrix waarschuwt dat workaround voor ernstig lek niet altijd werkt

donderdag 16 januari 2020, 16:06 door Redactie, 33 reacties

Softwarebedrijf Citrix waarschuwt organisaties dat de workaround voor een ernstige kwetsbaarheid in de Application Delivery Controller (ADC) niet bij alle versies van de software werkt. Daarnaast zullen niet alle systemen volgende week een beveiligingsupdate ontvangen.

Een kwetsbaarheid in de Citrix Application Delivery Controller (ADC) en Citrix Gateway, die respectievelijk bekend stonden als de NetScaler ADC en NetScaler Gateway, maakt het mogelijk voor aanvallers om het systeem volledig over te nemen en mogelijk het achterliggende netwerk aan te vallen. Aanvallers zoeken inmiddels actief naar kwetsbare Citrix-servers.

Citrix maakte de kwetsbaarheid op 17 december bekend en publiceerde een workaround die organisaties tegen aanvallen moest beschermen. Vandaag meldt het softwarebedrijf dat deze workaround door een bug niet bij alle versies van de software werkt. In Citrix ADC release 12.1 builds voor 51.16/51.19 en 50.31 is een bug aanwezig waardoor de ingestelde mitigatiemaatregel niet wordt toegepast. Citrix adviseert klanten om naar een versie van de software te updaten waar de workaround wel werkt.

Tevens meldt het softwarebedrijf wanneer het verwacht dat er beveiligingsupdates zullen uitkomen. Voor Citrix ADC en Citrix Gateway versie 11.1 en 12.0 zouden de updates op 20 januari moeten verschijnen. Voor versies 12.1 en 13.0 staat de update voor 27 januari gepland. Organisaties die met Citrix ADC en Citrix Gateway versie 10.5 werken kunnen op 31 januari een update tegemoet zien. In het geval van Citrix SD-WAN WANOP versies 10.2.6 en 11.0.3 is nog onbekend wanneer de update verschijnt.

Z-Cert, het Computer Emergency Response Team voor de zorg in Nederland, liet eerder weten dat organisaties die tot afgelopen zaterdag nog geen maatregelen hadden genomen ervan moeten uitgaan dat ze gecompromitteerd zijn. Ook het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties hiervoor. "Mocht u op dit moment nog geen mitigerende maatregelen hebben getroffen, dan moet u er rekening mee houden dat uw systeem gecompromitteerd is."

Reacties (33)
16-01-2020, 16:54 door Anoniem
Lekker zeg.
Je merkt toch wel een trend waarbuh je het gevoel krijgt dat dit Internet "stervende "is.
Dit gaat maar door en steeds ingrijpender.
16-01-2020, 18:05 door Anoniem
Citrix is ongeloofwaardig (aan het worden)
16-01-2020, 19:47 door Anoniem
Door Anoniem: Lekker zeg.
Je merkt toch wel een trend waarbuh je het gevoel krijgt dat dit Internet "stervende "is.
Dit gaat maar door en steeds ingrijpender.

Kun je uitleggen wat je precies bedoeld?
16-01-2020, 20:11 door Anoniem
Door Anoniem: Citrix is ongeloofwaardig (aan het worden)
Ik vraag me al heel lang af wat Citrix nou precies te bieden heeft boven Microsoft RDP...
Ze zijn begonnen op Windows NT toen Microsoft nog geen multi-user support had, in de vorm van een flink aantal
patches op het operating system. Maar tegenwoordig kan Windows Server standaard multiuser aan en remote desktop,
wat wil je dan nog met Citrix?
16-01-2020, 20:15 door Anoniem
Door Anoniem: Lekker zeg.
Je merkt toch wel een trend waarbuh je het gevoel krijgt dat dit Internet "stervende "is.
Dit gaat maar door en steeds ingrijpender.

Trend en gevoel

Verklaar je eens nader. Dit is nogal vaag.
Welke onderbouwing heb je voor dit "gevoel". wat is de kwatificeerbare trend?
16-01-2020, 20:56 door Anoniem
Door Anoniem:
Door Anoniem: Lekker zeg.
Je merkt toch wel een trend waarbuh je het gevoel krijgt dat dit Internet "stervende "is.
Dit gaat maar door en steeds ingrijpender.

Kun je uitleggen wat je precies bedoeld?
t
Ik krijg het gevoel dat er steeds meer kwetsbaarheden zijn,waardoor het vetrouwen ondemijnd wordt.
Dit loopt volgens mij af in een totale chaos.
We vernemen nog maar een fractie,wat er echt gebeurt.
Beangstigend.
Want wat bijv. als banken nog meer worden aangevallen en jij als spaarder merkt dat je bankrekening 0 euro is.
En jij niets meer kan bewijzen?
16-01-2020, 21:57 door souplost - Bijgewerkt: 16-01-2020, 21:57
Door Anoniem:
Door Anoniem: Citrix is ongeloofwaardig (aan het worden)
Ik vraag me al heel lang af wat Citrix nou precies te bieden heeft boven Microsoft RDP...
Ze zijn begonnen op Windows NT toen Microsoft nog geen multi-user support had, in de vorm van een flink aantal
patches op het operating system. Maar tegenwoordig kan Windows Server standaard multiuser aan en remote desktop,
wat wil je dan nog met Citrix?
Nog al logisch. Citrix draait op FreeBSD. Je moet er niet aan denken als daar ook nog eens windows onder zou zitten. Dan blijf je patchen en rebooten. Daarnaast is het RDP protocol "lek"
16-01-2020, 22:58 door Anoniem

t
Ik krijg het gevoel dat er steeds meer kwetsbaarheden zijn,waardoor het vetrouwen ondemijnd wordt.
Dit loopt volgens mij af in een totale chaos.
We vernemen nog maar een fractie,wat er echt gebeurt.
Beangstigend.
Want wat bijv. als banken nog meer worden aangevallen en jij als spaarder merkt dat je bankrekening 0 euro is.
En jij niets meer kan bewijzen?

De volgende kwetsbaarheid bestaat uit dat de Netscalers zelfbewust worden en vervolgens de wereld overnemen onder de naam Skynet.
17-01-2020, 07:16 door Anoniem
Door Anoniem: Want wat bijv. als banken nog meer worden aangevallen en jij als spaarder merkt dat je bankrekening 0 euro is. En jij niets meer kan bewijzen?

Banken draaien vaak UNIX (z/OS, AIX) op mainframes.
17-01-2020, 08:43 door Anoniem
Het is zeker dat iedereen moet overstappen naar F5 of A10
17-01-2020, 08:44 door karma4
Door souplost: [
Nog al logisch. Citrix draait op FreeBSD. Je moet er niet aan denken als daar ook nog eens windows onder zou zitten. Dan blijf je patchen en rebooten. Daarnaast is het RDP protocol "lek"
Leg dan maar eens uit hoe het kan dat dit Citrix lek zo ernstig is dat alleen de dienst volledig stoppen nog veilig is.
Waar heeft BSDd gefaald dat dit mogelijk is.
17-01-2020, 09:32 door Anoniem
Door Anoniem:
Door Anoniem: Want wat bijv. als banken nog meer worden aangevallen en jij als spaarder merkt dat je bankrekening 0 euro is. En jij niets meer kan bewijzen?

Banken draaien vaak UNIX (z/OS, AIX) op mainframes.

Die Netscalers draaien ook Unix/Linux. Dus wat bedoel je hier mee te zeggen?
17-01-2020, 09:36 door The FOSS
Door karma4:
Door souplost: [
Nog al logisch. Citrix draait op FreeBSD. Je moet er niet aan denken als daar ook nog eens windows onder zou zitten. Dan blijf je patchen en rebooten. Daarnaast is het RDP protocol "lek"
Leg dan maar eens uit hoe het kan dat dit Citrix lek zo ernstig is dat alleen de dienst volledig stoppen nog veilig is.
Waar heeft BSDd gefaald dat dit mogelijk is.

Wat heeft dit met BSD te maken? Behalve dan natuurlijk dat je je geen zorgen hoeft te maken over het fundament waarop Citrix draait.
17-01-2020, 09:57 door The FOSS
Door Anoniem:
Door Anoniem:
Door Anoniem: Want wat bijv. als banken nog meer worden aangevallen en jij als spaarder merkt dat je bankrekening 0 euro is. En jij niets meer kan bewijzen?

Banken draaien vaak UNIX (z/OS, AIX) op mainframes.

Die Netscalers draaien ook Unix/Linux. Dus wat bedoel je hier mee te zeggen?

Mijn opmerking ging specifiek in op de angst voor het gehackt worden van banken.
17-01-2020, 10:03 door Anoniem
Door souplost:
Door Anoniem:
Door Anoniem: Citrix is ongeloofwaardig (aan het worden)
Ik vraag me al heel lang af wat Citrix nou precies te bieden heeft boven Microsoft RDP...
Ze zijn begonnen op Windows NT toen Microsoft nog geen multi-user support had, in de vorm van een flink aantal
patches op het operating system. Maar tegenwoordig kan Windows Server standaard multiuser aan en remote desktop,
wat wil je dan nog met Citrix?
Nog al logisch. Citrix draait op FreeBSD. Je moet er niet aan denken als daar ook nog eens windows onder zou zitten. Dan blijf je patchen en rebooten. Daarnaast is het RDP protocol "lek"
Hoe kom je daar nou bij? Citrix servers zijn gewoon Windows Servers met extra software erop voor een ander remote desktop protocol, en wat management gedoe voor printers enzo.
De Netscaler appliance is wel een ander systeem (ik dacht eigenlijk Linux maar kan ook BSD zijn) wat in feite een VPN concentrator is die zij verkopen en die enige integratie heeft met de rest van de omgeving. En DAAR zit nu het probleem in, dus dat is kennelijk ook geen garantie voor veiligheid.
Je hoeft die Netscaler trouwens helemaal niet te gebruiken, je kunt ook gewoon een andere VPN concentrator nemen (Pulse Secure ofzo) en daar je gebruikers mee laten connecten en dan hun Citrix sessie laten opzetten.
17-01-2020, 10:25 door Anoniem
Door Anoniem:
Door souplost:
Door Anoniem:
Door Anoniem: Citrix is ongeloofwaardig (aan het worden)
Ik vraag me al heel lang af wat Citrix nou precies te bieden heeft boven Microsoft RDP...
Ze zijn begonnen op Windows NT toen Microsoft nog geen multi-user support had, in de vorm van een flink aantal
patches op het operating system. Maar tegenwoordig kan Windows Server standaard multiuser aan en remote desktop,
wat wil je dan nog met Citrix?
Nog al logisch. Citrix draait op FreeBSD. Je moet er niet aan denken als daar ook nog eens windows onder zou zitten. Dan blijf je patchen en rebooten. Daarnaast is het RDP protocol "lek"
Hoe kom je daar nou bij? Citrix servers zijn gewoon Windows Servers met extra software erop voor een ander remote desktop protocol, en wat management gedoe voor printers enzo.
De Netscaler appliance is wel een ander systeem (ik dacht eigenlijk Linux maar kan ook BSD zijn) wat in feite een VPN concentrator is die zij verkopen en die enige integratie heeft met de rest van de omgeving. En DAAR zit nu het probleem in, dus dat is kennelijk ook geen garantie voor veiligheid.
Je hoeft die Netscaler trouwens helemaal niet te gebruiken, je kunt ook gewoon een andere VPN concentrator nemen (Pulse Secure ofzo) en daar je gebruikers mee laten connecten en dan hun Citrix sessie laten opzetten.

Goed idee want Pulse Secure heeft nog nooit een issue gehad.. ;-)
https://www.security.nl/posting/621930/14_000+Pulse+Secure+vpn-endpoints+door+lek+over+te+nemen

Dat Netscaler op FreeBSD draait maakt 't niet meer of minder lek, ik draai al meer dan 16 jaar op FreeBSD, beheer een batterij aan servers en heb nog nooit een issue gehad! Netscaler draait nog met FreeBSD 8.4 want patches terug geven aan de community is blijkbaar een no-no en nu ze zover achterlopen met hun patchset kunnen ze waarschijnlijk ook moeilijk de base upgraden naar een beetje normale/recente versie.

Maar goed; de bug zit o.a. in de configuratie van Apache die Netscaler gebruikt voor afhandelen van requests, FreeBSD heeft hier weinig tot niets mee te maken.
17-01-2020, 10:27 door Anoniem
Door Anoniem:
Door Anoniem: Citrix is ongeloofwaardig (aan het worden)
Ik vraag me al heel lang af wat Citrix nou precies te bieden heeft boven Microsoft RDP...
Ze zijn begonnen op Windows NT toen Microsoft nog geen multi-user support had, in de vorm van een flink aantal
patches op het operating system. Maar tegenwoordig kan Windows Server standaard multiuser aan en remote desktop,
wat wil je dan nog met Citrix?
Als je met Citrix & met rds hebt gewerkt dan weet je dat Citrix in vergelijking met RDS veel uitgebreider en nog steeds volwassener als een product is.

En ik zeg dit als een Microsoft "fanboy"
17-01-2020, 11:25 door Anoniem
Betaald je jaren en jaren een subscription fee voor je cietrix clients en wat blijkt, het is een drama. Zelfs de handleidingen van Citrix bieden niet altijd de juiste oplossing die werkt. En de verwachte updates zullen ook niet overal werken schrijven ze zelf. Op andere media gaat het al over achtergelaten achterdeurtjes.

Ben benieuwd of dit nog een staartje krijgt.
17-01-2020, 11:37 door Anoniem
Door Anoniem:
Door Anoniem:
Je hoeft die Netscaler trouwens helemaal niet te gebruiken, je kunt ook gewoon een andere VPN concentrator nemen (Pulse Secure ofzo) en daar je gebruikers mee laten connecten en dan hun Citrix sessie laten opzetten.

Goed idee want Pulse Secure heeft nog nooit een issue gehad.. ;-)
Daarom noem ik dat ook als voorbeeld!


Maar goed; de bug zit o.a. in de configuratie van Apache die Netscaler gebruikt voor afhandelen van requests, FreeBSD heeft hier weinig tot niets mee te maken.

Wat ik me afvraag is: heeft FreeBSD (en Linux en andere Unixen) een mogelijkheid om userprocessen te verbieden om
gebruik te maken van de .. constructie voor "parent directory"? Ik weet dat je dit niet zomaar kunt doen omdat een
website legaal een URL mag gebruiken als "../img/plaatje.gif" maar stel dat je al weet dat je site dat niet doet, zou het dan
niet een heel goed idee zijn om een Apache config directive te hebben die zegt dat .. nooit mag, en die dan resulteert
in een systemcall die dit ook daadwerkelijk blokkeert zodat het niet de verantwoordelijkheid van de applicatie is om hier
op te checken? (wat kennelijk keer op keer niet lukt, bijv door clevere encoding of UTF-8 truukjes, hoevaak is er al
niet ellende geweest met path traversal? Terwijl je dit "bij normaal gebruik" helemaal niet nodig hebt!
17-01-2020, 11:53 door Anoniem
https://nos.nl/artikel/2318974-amsterdam-rotterdam-en-andere-gemeenten-schakelen-citrix-servers-uit.html
17-01-2020, 12:00 door Anoniem
Door Anoniem: Citrix is ongeloofwaardig (aan het worden)
Nou Nou, op zijn hoogst is het veelal het management van deze systemen dat te wensen over laat. De meesten denken niet echt na (next, next, next, finish) wat ze doen. Ik noem mezelf niet een wiz voor wat betreft citrix en netscaler, maar ongepatched kwamen ze al niet binnen, omdat het allemaal gecustomized is bij ons.
17-01-2020, 12:27 door Anoniem
Door Anoniem: Banken draaien vaak UNIX (z/OS, AIX) op mainframes.
z/OS heeft Unix System Services als (verplichte) component, en dat is gecertificeerd POSIX compliant en mag dus Unix heten. Maar dat is niet de basis van z/OS, dat is namelijk de opvolger van MVS en OS/390, en dat zijn mainframe-besturingssystemen die een fundamenteel ander ontwerp hebben dan Unix. Unix System Services is een compatibiliteitslaag die het mogelijk maakt voor Unix geschreven software op z/OS te draaien. De traditionele mainframesystemen die banken aan het verleden hebben overgehouden zijn, voor zover ik ermee in aanraking ben geweest (ik ben o.a. COBOL-programmeur geweest) of over heb gehoord, niet voor Unix geschreven.
17-01-2020, 12:33 door The FOSS - Bijgewerkt: 17-01-2020, 12:33
Door Anoniem: gebruik te maken van de .. constructie voor "parent directory"?

Tuurlijk... Bijvoorbeeld met een chroot of een bind mount maak je van een pad op de server een nieuwe root. Zodat je niet hoger kan dan is toegestaan.
17-01-2020, 13:21 door Anoniem
Het "als het kalf verdronken is, dempt men de put" scenario komt weer eens voorbij.
Moeten we dit nog uitleggen aan anoniem van gisteren 20:15?
Men moet geen oude sokken weggooien als men nog geen nieuwe heeft,

Voorbeelden te over. Iedereen in Europa moet vliegschaamte krijgen, maar er is nog geen HS treinverkeer mogelijk tussen Noordkaap en Gribraltar. Ga dus pas uitstappen, als er een aannemelijk alternatief voor handen is.

NS en Bundesbahn met een verschillende stroomvoorziening zorgen dat ik op weg naar Eindhoven bij Eindhoven-Speijk terug moet rijden over het baanvak om via een andere wissel een goederentrein te passeren, waarvan de loc niet meer op te starten is. Dit vanwege stroomvoorzieningskeuzes die reeds lang daarvoor zijn gemaakt (NS in 1915).... Nu nieuwbouwwoningen zonder parkeerplaatsen plannen, waar blijft de 'volks'auto? Wat is de agenda? In welke wereld willen Verhofstadt en consorten ons gaan laten leven? Ziet u de buien al hangen of bent u nog niet "woke"?

Internet idem dito. Voor een echte "overhaul" moet er al een nieuw beter Internet nu al beschikbaar zijn, anders zit je straks met niets. Regeren is vooruitzien toch. In 2015 wisten we van de komende golven cybercrime - ransomware. Wat heeft men eraan gedaan?

Nu dus Amsterdam en Rotterdam gaan uit voorzorg kwetsbare Citrix-servers uitschakelen. Emotet etc.?!?

J.O.
17-01-2020, 14:33 door Anoniem
Door Anoniem: Citrix is ongeloofwaardig (aan het worden)
Security is nooit 100%. Het is voortdurend kat en muis tussen nieuwe kwetsbaarheden en patches. Als je dat niet begrijpt, en denkt te moeten honen, kun je beter een ander vak zoeken.
17-01-2020, 15:18 door Anoniem
Door Anoniem:Ben benieuwd of dit nog een staartje krijgt.

Een parlementaire enquête commissie?

Voorloping gaat een hele stoet van hotemetoten en bobo's zich er mee bemoeien, dat is wel zeker...


Citrix is heel groot in het grote bedrijfsleven.
17-01-2020, 18:22 door Anoniem
Door Anoniem:
Door Anoniem: Citrix is ongeloofwaardig (aan het worden)
Ik vraag me al heel lang af wat Citrix nou precies te bieden heeft boven Microsoft RDP...
Probeer eens 15000 VDi's te beheren met Microsoft.
Of 2000 RDS servers.
Geavandeerde Policies te maken.
QOS op je RDP protocol.
Microsoft heeft inderdaad RDP, en dit zal goed voldoen voor vele. Maar Citrix geeft gewoon een sublieme beheer laag.

Ze zijn begonnen op Windows NT toen Microsoft nog geen multi-user support had, in de vorm van een flink aantal
patches op het operating system.
Volgens mij had Microsoft de multiuser gelicenseerd van Citrix. Maar dat durf ik niet met zekerheid te zeggen. Iets te lang geleden dat ik mij met Citrix Metaframe 1.8 for NT neer gezet heb.

Maar tegenwoordig kan Windows Server standaard multiuser aan en remote desktop,
wat wil je dan nog met Citrix?
Beheer, kwaliteit, schaalbaarheid en ik kan je nog een dozijn mogelijkheden geven.
17-01-2020, 19:28 door Anoniem
Door The FOSS:
Door Anoniem: gebruik te maken van de .. constructie voor "parent directory"?

Tuurlijk... Bijvoorbeeld met een chroot of een bind mount maak je van een pad op de server een nieuwe root. Zodat je niet hoger kan dan is toegestaan.

Dat beveiligt je niet tegen path traversal binnen je eigen omgeving. Je kunt er wellicht mee voorkomen dat iemand een
file uit /etc leest die je liever niet vrijgeeft maar niet dat er binnen de tree waar je applicatie staat rare dingen gedaan worden
die dan vervolgens niet herkend worden door het authenticatie/authorisatie mechanisme wat bij web applicaties altijd een
beetje gammel is omdat het daar oorspronkelijk niet goed voor ontworpen is.
In principe heb je in veel applicaties helemaal geen .. in filenamen nodig dus waarom kun je dat dan niet gewoon verbieden?
Of het nou binnen of buiten je eigen subtree is maakt dan niet uit.
17-01-2020, 19:31 door Anoniem
Door Anoniem:
Citrix is heel groot in het grote bedrijfsleven.
Ja nog wel. Dat is wel hard aan het afkalven nu steeds minder applicaties "native windows" zijn en er meer gewerkt
wordt met web applicaties. Niet altijd fijn kwa performance en handige mogelijkheden, maar het maakt je wel los van
de verplichting om ergens een remote Windows Desktop te hebben waar je software op draait. En de serverkant van
web applicaties draait vaak niet op Windows servers.
17-01-2020, 21:32 door souplost
Door Anoniem:
Door The FOSS:
Door Anoniem: gebruik te maken van de .. constructie voor "parent directory"?

Tuurlijk... Bijvoorbeeld met een chroot of een bind mount maak je van een pad op de server een nieuwe root. Zodat je niet hoger kan dan is toegestaan.

Dat beveiligt je niet tegen path traversal binnen je eigen omgeving. Je kunt er wellicht mee voorkomen dat iemand een
file uit /etc leest die je liever niet vrijgeeft maar niet dat er binnen de tree waar je applicatie staat rare dingen gedaan worden
die dan vervolgens niet herkend worden door het authenticatie/authorisatie mechanisme wat bij web applicaties altijd een
beetje gammel is omdat het daar oorspronkelijk niet goed voor ontworpen is.
In principe heb je in veel applicaties helemaal geen .. in filenamen nodig dus waarom kun je dat dan niet gewoon verbieden?
Of het nou binnen of buiten je eigen subtree is maakt dan niet uit.
IK begrijp niet helemaal wat je bedoelt maar je webapplicatie moet je niet zetten in je DocumentRoot (var/www/html) tree. Daarnaast kan je nog veel met selinux doen.
17-01-2020, 23:39 door Anoniem
Door Anoniem:
Door Anoniem: Citrix is ongeloofwaardig (aan het worden)
Ik vraag me al heel lang af wat Citrix nou precies te bieden heeft boven Microsoft RDP...
Ze zijn begonnen op Windows NT toen Microsoft nog geen multi-user support had, in de vorm van een flink aantal
patches op het operating system. Maar tegenwoordig kan Windows Server standaard multiuser aan en remote desktop,
wat wil je dan nog met Citrix?

Citrix verliest marktaandeel.
Lager bandbreedte gebruik, lagere (beheer)kosten waren jarenlang de reden om bij citrix aan te sluiten.
Het draait op1x rdp lic per server. Rdp kan ook, maar verbruikt wat meer lics en servers, dus duurder en wat meer bandbreedte gebruik, maar ja smoelt beter wua interface, audio en video e.d., maar ja vereist meer beheer. Kortom: pros en cons voor beiden. De wereld verandert naar web, dus citrix verliest met de komst van moderne digitale wekplekken. De strijd vd titanen barst los.....inside lan aanvallen komen er aan, kwestie van tijd. Nieuwe technologie is nodig met algoritmes om ons beter te beschermen, AI/Machine Learning gaan hierbij helpen.
18-01-2020, 12:49 door Anoniem
Urban verdict sounds: "Sh*trix, when you see it you sh*t bricks".

Waarom hebben we de analoge wereld verruild voor een digitale, die steeds slechter begint te functioneren.
Men probeert verlies aan welvaart te compenseren via cybercriminele inkomsten.
Analoge zaken sluiten en digitale pendanten openen, die elkander "naar het leven staan".
Op naar de Amazon wereld via de Cloud.

Analoge post komt weken te laat. Overal is het vertrouwen een flink stuk verdwenen.
Straks zijn we over de hele linie "leeggetrokken".
De inrichters der maatschappij staan erbij en kijken ernaar met de handen in het haar.
De randen van het EU-droomkleed beginnen al lekker te rafelen.

Wachten we op digi-geddon?

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.