Overheid en zorg dringend aangeraden Citrix-servers uit te schakelen
Het Nationaal Cyber Security Centrum (NCSC) heeft mede op advies van de AIVD de Rijksoverheid en vitale organisaties dringend aangeraden om Citrix-servers uit te schakelen. Tevens heeft het ministerie van Volksgezondheid een waarschuwing voor zorginstellingen afgegeven waarin het uitschakelen van Citrix-servers wordt aangeraden, tenzij de veiligheid van patiënten in gevaar komt.
"Het is aan de organisaties zelf om af te wegen wat de impact is van het eventueel uitschakelen van Citrix en wat het belang is van continuïteit van primaire processen. Indien organisaties besluiten Citrix niet uit te schakelen, adviseert het NCSC met klem aanvullende maatregelen te treffen en intensief te monitoren", zo laat het ministerie van Justitie en Veiligheid weten.
Volgens het ministerie hebben al verschillende organisaties uit eigen afweging besloten om Citrix uit te schakelen. Binnen de Rijksoverheid zal de Chief Information Officer (CIO)-Rijk in overleg met de organisaties bepalen welke systemen worden uitgeschakeld, dan wel moeten blijven doordraaien met aanvullende beveiligingsmaatregelen.
Het ministerie van Volksgezondheid geeft ook het advies om Citrix-servers uit te schakelen. "Tenzij de patiëntveiligheid hierdoor in gevaar komt. In alle gevallen is het advies om alle door Citrix aanbevolen maatregelen te nemen en systemen intensief te monitoren op mogelijk misbruik." Verder stelt het ministerie dat het risico op misbruik groot is, alsmede de impact die een aanval kan hebben. "Door deze kwetsbaarheid in het Citrix-systeem kunnen hackers toegang krijgen tot het computersysteem van uw organisatie." Volgende week en de weken daarna komt Citrix met een beveiligingsupdate voor de kwetsbaarheid.
Reacties (33)
Waarom is het NCSC de enige die dit adviseert? Buitenlandse organisaties heb ik dit advies niet zien geven. Zelfs Citrix niet.
Natuurlijk altijd goed om nu extra waakzaam te zijn / waar mogelijk extra maatregelen te nemen.
Natuurlijk altijd goed om nu extra waakzaam te zijn / waar mogelijk extra maatregelen te nemen.
DIt komt omdat Citrix onduidelijk is (geweest) over de lek en dat heel lang heeft geduurd dat ze tijdslijn hebben opgegeven over patches. Ook is na bijna een maand bekend geworden dat de maatregelen niet altijd werkte bij bepaalde versie(s) omdat er een andere bug in zat. Wegens onduidelijkheid en dat er geen 100% garantie is ondanks de maatregelen is het advies om het uit te schakelen of internet toegang blokkeren.
.
Advisory on Citrix vulnerability CVE-2019-19781 download PDF
https://fox-it.com/nl/actueel/media/fox-it-citrix-advisory-update/
Advisory on Citrix vulnerability CVE-2019-19781 download PDF
Based on all the current rumors and speculations about the Citrix vulnerability, Fox-IT.com decided to list all the current known facts in an advisory.
https://fox-it.com/nl/actueel/media/fox-it-citrix-advisory-update/
Alle Citrix servers? Paniekvoetbal eerste divisie.
Waarom zou je alleen via intranet bereikbare servers gaan uitschakelen?
Waarom zou je alleen via intranet bereikbare servers gaan uitschakelen?
Door Anoniem: DIt komt omdat Citrix onduidelijk is (geweest) over de lek
En de andere partijen doen hier vrolijk aan mee!Zo wordt er zelfs op security.nl meermaals geproken over "Citrix-servers" zonder duidelijk aan te geven wat hier mee
bedoeld wordt. Netscaler? ADC? Applicatie servers? We krijgen het allemaal niet te horen.
18-01-2020, 12:32 door
souplost
het uitschakelen van Citrix-servers wordt aangeraden, tenzij de veiligheid van patiënten in gevaar komt.
https://www.nu.nl/tech/6024623/schiphol-tweede-kamer-en-grote-gemeenten-zetten-citrix-servers-uit.html
".. Uit een scan van Nederlands Security Meldpunt bleek donderdagochtend dat nog 250 Nederlandse servers kwetsbaar zijn door het lek. "Je kunt ervan uitgaan dat deze servers inmiddels allemaal getroffen zijn door hackers", vertelt Frank Breedijk, cybersecurityexpert bij Nederlands Security Meldpunt, aan NU.nl .."
Op zaterdag 11 januari waren er in Nederland 713 kwetsbare Citrix servers (hosts):
https://www.security.nl/posting/639015/Honderden+Nederlandse+Citrix-servers+kwetsbaar+voor+aanvallen
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/
Hoeveel zijn daar nu nog van over?
zaterdag 11-01 713
donderdag 16-01 250
zaterdag 18-01 ...
Misschien kan Frank Breedijk een grafiekje maken van zijn scan-resultaten?
".. Uit een scan van Nederlands Security Meldpunt bleek donderdagochtend dat nog 250 Nederlandse servers kwetsbaar zijn door het lek. "Je kunt ervan uitgaan dat deze servers inmiddels allemaal getroffen zijn door hackers", vertelt Frank Breedijk, cybersecurityexpert bij Nederlands Security Meldpunt, aan NU.nl .."
Op zaterdag 11 januari waren er in Nederland 713 kwetsbare Citrix servers (hosts):
https://www.security.nl/posting/639015/Honderden+Nederlandse+Citrix-servers+kwetsbaar+voor+aanvallen
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/
Hoeveel zijn daar nu nog van over?
zaterdag 11-01 713
donderdag 16-01 250
zaterdag 18-01 ...
Misschien kan Frank Breedijk een grafiekje maken van zijn scan-resultaten?
Door Anoniem: Waarom is het NCSC de enige die dit adviseert? Buitenlandse organisaties heb ik dit advies niet zien geven. Zelfs Citrix niet.
Natuurlijk altijd goed om nu extra waakzaam te zijn / waar mogelijk extra maatregelen te nemen.
Natuurlijk altijd goed om nu extra waakzaam te zijn / waar mogelijk extra maatregelen te nemen.
Er was verwarring over de werking van de patch en tegenstrijdige berichten van Citrix.
Door Anoniem: Alle Citrix servers? Paniekvoetbal eerste divisie.
Waarom zou je alleen via intranet bereikbare servers gaan uitschakelen?
Alleen de Netscaler (ADC) is bij de meeste bedrijven uitgeschakeld, intern is er geen enkel probleem. Er kan alleen niet thuis of op een remote locatie gewerkt worden.Waarom zou je alleen via intranet bereikbare servers gaan uitschakelen?
De pers heeft het steeds over Citrix servers maar dat is niet juist, de Netscaler/ADC is een product van Citrix maar geen Citrix server, dat is niks anders dan bijvoorbeeld een Windows 2016 server met het Citrix component (VDA) geïnstalleerd.
Door souplost:
het uitschakelen van Citrix-servers wordt aangeraden, tenzij de veiligheid van patiënten in gevaar komt.
Een kritieke kwetsbaarheid komt overal wel eens voor, maar een patch zo lang op zich laten wachten zegt iets over het systeem. Wie trekt de stekker er uit?
Dit soort antwoorden zeggen ook altijd meer iets over de kapiteins, die blijkbaar niet echt de product kennis hebben om een juiste inschatting te maken over welke route ze moeten varen. het uitschakelen van Citrix-servers wordt aangeraden, tenzij de veiligheid van patiënten in gevaar komt.
Wie laat ze stranden?
Hoe kun je dit soort antwoorden nu geven, zonder ook maar exact de complexiteit te weten, hoe de fix gemaakt moet worden?
Dat de patch zolang duurt, geeft aan dat de oplossing blijkbaar heel erg complex is, en dus in de core van netscaler zit.
Ik ben niet zo thuis in Citrix maar is en citrix server open op internet zonder IP restrictie of VPN niet net zo dommig als een RDP server zonder extra beveiligingslaag ?
Lekken in software, ik denk dat de gene gepubliceerd in de media het topje van de ijsberg is.
Rede te meer om next firewalls te gebruiken. Momenteel zie ik de firewall wat medlingen geven op dit lek (en andere pogingen) maar deze sucesvol tegenhoudt.
Vraag me dan ook af hoe andere daarmee omgaan ?
typisch gevaltje van denken dat je veilig bent of zet zoden aan de dijk, op zijn minst extra barriere
Rede te meer om next firewalls te gebruiken. Momenteel zie ik de firewall wat medlingen geven op dit lek (en andere pogingen) maar deze sucesvol tegenhoudt.
Vraag me dan ook af hoe andere daarmee omgaan ?
typisch gevaltje van denken dat je veilig bent of zet zoden aan de dijk, op zijn minst extra barriere
@anoniem van 10:57
Dat moet Fox-IT zeggen met hun slecht geconfigureerde Content Security Policy settings op die website: evaluatie geeft:
luntrus
Dat moet Fox-IT zeggen met hun slecht geconfigureerde Content Security Policy settings op die website: evaluatie geeft:
default-src https:;
script-src https: 'unsafe-inline' 'unsafe-eval';
style-src https: 'unsafe-inline';
object-src 'none';
//////////////////////////
script-src
expand_more
errorhttps:
https: URI in script-src allows the execution of unsafe scripts.
error'unsafe-inline'
'unsafe-inline' allows the execution of unsafe in-page scripts and event handlers.
help_outline'unsafe-eval'
'unsafe-eval' allows the execution of code injected into DOM APIs such as eval().
////////////////////////////////
errorscript-src
Host whitelists can frequently be bypassed. Consider using 'strict-dynamic' in combination with CSP nonces or hashes.
expand_more
errorhttps:
https: URI in script-src allows the execution of unsafe scripts.
error'unsafe-inline'
'unsafe-inline' allows the execution of unsafe in-page scripts and event handlers.
help_outline'unsafe-eval'
'unsafe-eval' allows the execution of code injected into DOM APIs such as eval().
Derhalve, onderzoek alle dingen en behoudt het goede. ;)script-src https: 'unsafe-inline' 'unsafe-eval';
style-src https: 'unsafe-inline';
object-src 'none';
//////////////////////////
script-src
expand_more
errorhttps:
https: URI in script-src allows the execution of unsafe scripts.
error'unsafe-inline'
'unsafe-inline' allows the execution of unsafe in-page scripts and event handlers.
help_outline'unsafe-eval'
'unsafe-eval' allows the execution of code injected into DOM APIs such as eval().
////////////////////////////////
errorscript-src
Host whitelists can frequently be bypassed. Consider using 'strict-dynamic' in combination with CSP nonces or hashes.
expand_more
errorhttps:
https: URI in script-src allows the execution of unsafe scripts.
error'unsafe-inline'
'unsafe-inline' allows the execution of unsafe in-page scripts and event handlers.
help_outline'unsafe-eval'
'unsafe-eval' allows the execution of code injected into DOM APIs such as eval().
luntrus
18-01-2020, 15:55 door
Password1234
Door Anoniem: Alle Citrix servers? Paniekvoetbal eerste divisie.
Waarom zou je alleen via intranet bereikbare servers gaan uitschakelen?
Zero trust. Don't trust the network as an authentication mechanism.Waarom zou je alleen via intranet bereikbare servers gaan uitschakelen?
Door Anoniem: Waarom is het NCSC de enige die dit adviseert? Buitenlandse organisaties heb ik dit advies niet zien geven. Zelfs Citrix niet.
Natuurlijk altijd goed om nu extra waakzaam te zijn / waar mogelijk extra maatregelen te nemen.
Natuurlijk altijd goed om nu extra waakzaam te zijn / waar mogelijk extra maatregelen te nemen.
Er zijn andere organisaties die het al (eerder dan NCSC) aan hun klanten hebben geadviseerd. NCSC heeft het advies alleen overgenomen en op de overheid van toepassing verklaard.
Peter
Politiek indekken. Niemand wil een Told-you-so in zijn mik geschoven krijgen als er tóch iets gebeurt. Intussen heb ik raden van bestuur van zorginstellingen in totale paniek aan de telefoon die eisen dat we de Citrix servers down nemen. We hebben de patches geïnstalleerd, we hebben ze getest, we hebben ze laten testen (externe PEN-tester, NESSUS met de speciale plugin voor de Citrix vulnerability) en we hebben er bewaking op staan. Dankzij de vaagheden van het NCSC in plaats van een concrete technische onderbouwing en een fatsoenlijke risico analyse is heel Nederland in de stress. De rest van de wereld voert de patch uit en gaat door met ademhalen. Wij ook, ik ga ze niet down nemen. Geen enkele reden voor als je fatsoenlijk patcht.
Door Anoniem: DIt komt omdat Citrix onduidelijk is (geweest) over de lek en dat heel lang heeft geduurd dat ze tijdslijn hebben opgegeven over patches. Ook is na bijna een maand bekend geworden dat de maatregelen niet altijd werkte bij bepaalde versie(s) omdat er een andere bug in zat. Wegens onduidelijkheid en dat er geen 100% garantie is ondanks de maatregelen is het advies om het uit te schakelen of internet toegang blokkeren.
Eens! Heeft Citrix aan zichzelf te danken.
Tuurlijk komt dit overal voor, lekken, maar deze onzekerheid en de klanten zo lang laten wachten op een patch (afhankelijk van je NetScaler versie is het 20 january of 27 january) is een te groot risico.
Door Anoniem: Ik ben niet zo thuis in Citrix maar is en citrix server open op internet zonder IP restrictie of VPN niet net zo dommig als een RDP server zonder extra beveiligingslaag ?
De Netscaler is juist een Applicatie SSLVPN. Die hang je juist aan het Internet. Daarnaast VPN is ook niet altijd veilig. Iets met GWK en PulseVPN?
Door Anoniem: Ik ben niet zo thuis in Citrix maar is en citrix server open op internet zonder IP restrictie of VPN niet net zo dommig als een RDP server zonder extra beveiligingslaag ?
Dat klopt, maar het lek zit ook niet in de Citrix server zelf maar in die 'extra beveilingslaag" die je er voor zet als je hem opinternet wilt zetten. Dat is een VPN concentrator waar je inlogt met je credentials (password en evt 2nd factor) en die je
dan een VPN geeft naar de eigenlijke server. Alleen doet ie dat soms ook zonder dat je inlogt.
Door Anoniem:
Eens! Heeft Citrix aan zichzelf te danken.
Tuurlijk komt dit overal voor, lekken, maar deze onzekerheid en de klanten zo lang laten wachten op een patch (afhankelijk van je NetScaler versie is het 20 january of 27 january) is een te groot risico.
Door Anoniem: DIt komt omdat Citrix onduidelijk is (geweest) over de lek en dat heel lang heeft geduurd dat ze tijdslijn hebben opgegeven over patches. Ook is na bijna een maand bekend geworden dat de maatregelen niet altijd werkte bij bepaalde versie(s) omdat er een andere bug in zat. Wegens onduidelijkheid en dat er geen 100% garantie is ondanks de maatregelen is het advies om het uit te schakelen of internet toegang blokkeren.
Eens! Heeft Citrix aan zichzelf te danken.
Tuurlijk komt dit overal voor, lekken, maar deze onzekerheid en de klanten zo lang laten wachten op een patch (afhankelijk van je NetScaler versie is het 20 january of 27 january) is een te groot risico.
Wat een onzin. De mitigerende maatregel zijn gewoon voldoende mits op tijd geïmplementeerd en je niet op een versie zit waar de maatregel niet goed op zouden werken. Citrix heeft op tijd de maatregelen gecommuniceerd, maar doordat veel mensen te laat, of onvoldoende, de maatregelen hebben opgevolgd zijn er zo enorm veel servers kwetsbaar.
Tja als Citrix geen schade wil oplopen moeten ze snel hun serversoftware updaten waar de lekken in zijn verholpen.
Nu hebben veel bedrijven en overheidsinstanties het vertrouwen in Citrix denk ik al verloren.
Nu hebben veel bedrijven en overheidsinstanties het vertrouwen in Citrix denk ik al verloren.
Door Anoniem:
Advisory on Citrix vulnerability CVE-2019-19781 download PDF
https://fox-it.com/nl/actueel/media/fox-it-citrix-advisory-update/
Advisory on Citrix vulnerability CVE-2019-19781 download PDF
Based on all the current rumors and speculations about the Citrix vulnerability, Fox-IT.com decided to list all the current known facts in an advisory.
https://fox-it.com/nl/actueel/media/fox-it-citrix-advisory-update/
Let op. Fox-IT heeft de inhoud van het gepubliceerde PDF document deze zaterdag de 18de om 13:00 uur bijgewerkt:
[ UPDATE 1: Text written by Fox-IT on 18th of January, 13:00 CET ] In Citrix ADC and Citrix Gateway Release "12.1 build 50.28", an issue exists that affects responder and rewrite policies causing them not to process the packets that matched policy rules. Citrix recommends that customers choose one from the following two options for the mitigation steps to function as intended:
1. Update to the refreshed "12.1 build 50.28/50.31" or later, OR
2. Apply the mitigation steps towards protecting the management interface as published in CTX267679. This will mitigate attacks, not just on the management interface but on ALL interfaces including Gateway and AAA virtual IPs'
1. Update to the refreshed "12.1 build 50.28/50.31" or later, OR
2. Apply the mitigation steps towards protecting the management interface as published in CTX267679. This will mitigate attacks, not just on the management interface but on ALL interfaces including Gateway and AAA virtual IPs'
Het orginele PDF file is door Archive.org gearchiveerd. Consulteer de Fox-IT.com website opnieuw, voor de actuele PDF versie. Het bovenstaande citaat is slechts één van een aantal in de tekst gemakeerde wijzigingen in de inhoud.
Door Anoniem: Tja als Citrix geen schade wil oplopen moeten ze snel hun serversoftware updaten waar de lekken in zijn verholpen.
Nu hebben veel bedrijven en overheidsinstanties het vertrouwen in Citrix denk ik al verloren.
Er zijn alleen heel weinig alternatieven. Daarnaast iedere leverancier heeft wel zo zo'n problemen. Nu hebben veel bedrijven en overheidsinstanties het vertrouwen in Citrix denk ik al verloren.
Daarnaast is de mitigatie met de responders voldoende om de exploits tegen te houden.
Voornamelijk de NCSC laat hier voornamelijk het vertrouwen schaden in de overheid met hun adviezen.
Door Anoniem:
Wat een onzin. De mitigerende maatregel zijn gewoon voldoende mits op tijd geïmplementeerd en je niet op een versie zit waar de maatregel niet goed op zouden werken. Citrix heeft op tijd de maatregelen gecommuniceerd, maar doordat veel mensen te laat, of onvoldoende, de maatregelen hebben opgevolgd zijn er zo enorm veel servers kwetsbaar.
Door Anoniem:
Eens! Heeft Citrix aan zichzelf te danken.
Tuurlijk komt dit overal voor, lekken, maar deze onzekerheid en de klanten zo lang laten wachten op een patch (afhankelijk van je NetScaler versie is het 20 january of 27 january) is een te groot risico.
Door Anoniem: DIt komt omdat Citrix onduidelijk is (geweest) over de lek en dat heel lang heeft geduurd dat ze tijdslijn hebben opgegeven over patches. Ook is na bijna een maand bekend geworden dat de maatregelen niet altijd werkte bij bepaalde versie(s) omdat er een andere bug in zat. Wegens onduidelijkheid en dat er geen 100% garantie is ondanks de maatregelen is het advies om het uit te schakelen of internet toegang blokkeren.
Eens! Heeft Citrix aan zichzelf te danken.
Tuurlijk komt dit overal voor, lekken, maar deze onzekerheid en de klanten zo lang laten wachten op een patch (afhankelijk van je NetScaler versie is het 20 january of 27 january) is een te groot risico.
Wat een onzin. De mitigerende maatregel zijn gewoon voldoende mits op tijd geïmplementeerd en je niet op een versie zit waar de maatregel niet goed op zouden werken. Citrix heeft op tijd de maatregelen gecommuniceerd, maar doordat veel mensen te laat, of onvoldoende, de maatregelen hebben opgevolgd zijn er zo enorm veel servers kwetsbaar.
Kennelijk heb je niet goed opgelet, want Citrix heeft pas recent gecommuniceerd dat de maatregelen niet werken op bepaalde versies. NCSC adviseert uitschakelen. Met deze lekken (het is meer dan 1 probleem) zoals deze kun je beter geen risico nemen op systemen tenzij het van levensbelang is het in de lucht te houden.
Er is nog ten minste 1 ziekenhuis die de maatregelen wel geimplementeerd heeft (met de Citrix workaround), maar het laat draaien. Ze negeren hiermee het advies van NCSC. Sommige gemeenten schakelen ook uit en andere weer niet. Dat is dan toch een slechte risicoafweging, want met uitschakelen heb je geen last van negatieve publiciteit met niet uitschakelen en toch worden gehackd ben je niet meer betrouwbaar. Je hebt immers net publiekelijk verklaard dat het veilig is.
Het is mogelijk om te zien welke versie er draait. Organisaties, waaronder het genoemde ziekenhuis, hebben de methode waarop dat kan niet geblokkeerd, terwijl Citrix dat wel geadviseerd zou hebben. Als aanvallers weten welke versie er draait kunnen ze hun aanval daarop aanpassen.
L.S.
Waarom hebben we het in het kader van Citrix nog niet gehad over de MyDoom incidenten
en overige Citrix-gerelateerde malware?
Kijk eens hier voor 189 zoekresultaten, die soms wel enige tijd teruggaan. Maar toch.
De volgende is toch nog vrij recentelijk in computertermen gesproken.
Van net voor oud en nieuw, toen de ellende kennelijk begon:
https://maltiverse.com/search;query=Citrix;page=1;sort=query_score
Zie de open phish vermelding hier: https://maltiverse.com/url/4412b38b7e58dd7807b59c5a2fa5b7e3695c6e1980d2f1ca05a9bbb5ecc72533
Voor die domein-naam-bedrijf-hoster zie: https://www.shodan.io/host/52.8.150.175
Zie alle server kwetsbaarheden/exploits aldaar voor Apache httpdVersion: 2.4.29:
https://www.cvedetails.com/version/241078/Apache-Http-Server-2.4.29.html
o.a. strict-transport-security niet optimaal volgens best policies ingesteld.
Alleen access-control-allow-origin header is gezet.
Overweeg ook de hier verkregen minus 3 security score:
https://webcookies.org/cookies/xyz.xyz/28885701?896232
De pagina laadt 1 third-party JavaScript file en 1 CSS,
maar maakt niet gebruik van Sub-Resource Integrity om een data-breuk te voorkomen
in het geval een third-party CDN wordt gecompromitteerd.
waarvan akte,
luntrus
Waarom hebben we het in het kader van Citrix nog niet gehad over de MyDoom incidenten
en overige Citrix-gerelateerde malware?
Kijk eens hier voor 189 zoekresultaten, die soms wel enige tijd teruggaan. Maar toch.
De volgende is toch nog vrij recentelijk in computertermen gesproken.
Van net voor oud en nieuw, toen de ellende kennelijk begon:
https://maltiverse.com/search;query=Citrix;page=1;sort=query_score
Zie de open phish vermelding hier: https://maltiverse.com/url/4412b38b7e58dd7807b59c5a2fa5b7e3695c6e1980d2f1ca05a9bbb5ecc72533
Voor die domein-naam-bedrijf-hoster zie: https://www.shodan.io/host/52.8.150.175
Zie alle server kwetsbaarheden/exploits aldaar voor Apache httpdVersion: 2.4.29:
https://www.cvedetails.com/version/241078/Apache-Http-Server-2.4.29.html
o.a. strict-transport-security niet optimaal volgens best policies ingesteld.
Alleen access-control-allow-origin header is gezet.
Overweeg ook de hier verkregen minus 3 security score:
https://webcookies.org/cookies/xyz.xyz/28885701?896232
De pagina laadt 1 third-party JavaScript file en 1 CSS,
maar maakt niet gebruik van Sub-Resource Integrity om een data-breuk te voorkomen
in het geval een third-party CDN wordt gecompromitteerd.
waarvan akte,
luntrus
Door Anoniem:
Voor die domein-naam-bedrijf-hoster zie: https://www.shodan.io/host/52.8.150.175
Zie alle server kwetsbaarheden/exploits aldaar voor Apache httpdVersion: 2.4.29:
https://www.cvedetails.com/version/241078/Apache-Http-Server-2.4.29.html
o.a. strict-transport-security niet optimaal volgens best policies ingesteld.
Alleen access-control-allow-origin header is gezet.
Voor die domein-naam-bedrijf-hoster zie: https://www.shodan.io/host/52.8.150.175
Zie alle server kwetsbaarheden/exploits aldaar voor Apache httpdVersion: 2.4.29:
https://www.cvedetails.com/version/241078/Apache-Http-Server-2.4.29.html
o.a. strict-transport-security niet optimaal volgens best policies ingesteld.
Alleen access-control-allow-origin header is gezet.
Het is een beetje jammer dat er steeds mensen komen met dit soort irrelevante opmerkingen.
Ook de bekende poster die altijd "javascript libraries wil afserveren" is weer van de partij op het forum.
Je kunt altijd wel een collectie "checks" maken en leuk afbeelden met groene vinkjes en rode kruisjes en
dan een opwindende "totaalscore" er bij geven, maar die genoemde aspecten hebben helemaal niks te
maken met de mogelijkheid om in te kunnen breken bij een bedrijf. Ze zijn meestal gericht op allerlei
onwaarschijnlijke XSS scenario's of gaan uit van een man-in-the-middle attack die in de meeste gevallen
helemaal niet mogelijk is, zeker niet als medewerkers van het bedrijf op het hart gedrukt wordt om geen
gebruik te maken van open wifi netwerken om verbinding te maken met het werk.
Als we het hebben over vulnerabilities die de veiligheid van het bedrijfsnetwerk in gevaar brengen, sleep
dan alsjeblieft niet steeds dit soort dingen erbij want dat leidt af van het onderwerp.
Door Anoniem: Tja als Citrix geen schade wil oplopen moeten ze snel hun serversoftware updaten waar de lekken in zijn verholpen.
Nu hebben veel bedrijven en overheidsinstanties het vertrouwen in Citrix denk ik al verloren.
Nu hebben veel bedrijven en overheidsinstanties het vertrouwen in Citrix denk ik al verloren.
Door Anoniem:
Wat een onzin. De mitigerende maatregel zijn gewoon voldoende mits op tijd geïmplementeerd en je niet op een versie zit waar de maatregel niet goed op zouden werken. Citrix heeft op tijd de maatregelen gecommuniceerd, maar doordat veel mensen te laat, of onvoldoende, de maatregelen hebben opgevolgd zijn er zo enorm veel servers kwetsbaar.
Door Anoniem:
Eens! Heeft Citrix aan zichzelf te danken.
Tuurlijk komt dit overal voor, lekken, maar deze onzekerheid en de klanten zo lang laten wachten op een patch (afhankelijk van je NetScaler versie is het 20 january of 27 january) is een te groot risico.
Door Anoniem: DIt komt omdat Citrix onduidelijk is (geweest) over de lek en dat heel lang heeft geduurd dat ze tijdslijn hebben opgegeven over patches. Ook is na bijna een maand bekend geworden dat de maatregelen niet altijd werkte bij bepaalde versie(s) omdat er een andere bug in zat. Wegens onduidelijkheid en dat er geen 100% garantie is ondanks de maatregelen is het advies om het uit te schakelen of internet toegang blokkeren.
Eens! Heeft Citrix aan zichzelf te danken.
Tuurlijk komt dit overal voor, lekken, maar deze onzekerheid en de klanten zo lang laten wachten op een patch (afhankelijk van je NetScaler versie is het 20 january of 27 january) is een te groot risico.
Wat een onzin. De mitigerende maatregel zijn gewoon voldoende mits op tijd geïmplementeerd en je niet op een versie zit waar de maatregel niet goed op zouden werken. Citrix heeft op tijd de maatregelen gecommuniceerd, maar doordat veel mensen te laat, of onvoldoende, de maatregelen hebben opgevolgd zijn er zo enorm veel servers kwetsbaar.
Onzin.
Citrix is dom geweest. 6 december wisten ze deze vunderbilty al. Dan komen ze met een niet gegarandeerde workaround, die blijkbaar alleen werkt als je eerst vooraf goed update, wat beroerd wordt gecommuniceerd, verschillende versies etc.Dan weet ineens de hele wereld het probleem, komen de hackscripts vrij op 't internet en het feest kan beginnen. HEEL DOM. Lekken bestaan altijd. Gewoon net als Microsoft je mond houden, patch maken, testen, dan roepen dat er een lek is gevonden, volgende dag patch releasen. Everybody happy
Anoniem van 11:06,
Nogal overtuigd van het in-house mitigatie niveau. Dus waarom dan al die externe Sh*trix maatregelen, als de medewerkers binnen het bedrijf altijd al precies weten wat ze wel en niet moeten doen. De arrogantie straalt er wederom vanaf. De aantallen bedrijven waar ingebroken wordt en de incidenten maar liever niet melden zijn niet aan te slepen. Over slechts aanvallen zonder succes praten we niet. Dat is dagelijke kost.
Heb maar voortgezet vertrouwen in je closed propriety werkomgeving. Best security policies zijn zeker niet aan je besteed. Main frame confidence op front-end en back-end. Laat maltiverse dan maar opdoeken en upguard erbij. We weten het
inmiddels toch al allemaal veel beter net als die NT4 dozenschuivers specialisten destijds, die Citrix propageerden voor deze functionaliteit om aan NT4 te hangen. Ja ik heb het ook in de lucht geklopt. Breekt ze nu aardig op, eigenlijk al een beetje. Daarom is het ook zo'n bijzonder veilige infrastructuur in Nederland vol spaghetti-code en gaat er nooit wat mis.
Geen boodschap aan stack overflow, af te serveren of verlaten code. Welk bedrijfsnetwerk runt nog compleet de eigen tent?
Mannetjes die niet weten dat de lambda generator al lang online staat. Horende doven en ziende blinden. Ja ze zitten ook tussen Technische IT gasten. We begeleiden tegenwoordig meer dan dat we aan willen leren, maar die dat zegt heeft in die omgevingen al niets meer te zoeken, want kritiek dat steekt. Doe het dan zelf ook niet.
#sockpuppet
Nogal overtuigd van het in-house mitigatie niveau. Dus waarom dan al die externe Sh*trix maatregelen, als de medewerkers binnen het bedrijf altijd al precies weten wat ze wel en niet moeten doen. De arrogantie straalt er wederom vanaf. De aantallen bedrijven waar ingebroken wordt en de incidenten maar liever niet melden zijn niet aan te slepen. Over slechts aanvallen zonder succes praten we niet. Dat is dagelijke kost.
Heb maar voortgezet vertrouwen in je closed propriety werkomgeving. Best security policies zijn zeker niet aan je besteed. Main frame confidence op front-end en back-end. Laat maltiverse dan maar opdoeken en upguard erbij. We weten het
inmiddels toch al allemaal veel beter net als die NT4 dozenschuivers specialisten destijds, die Citrix propageerden voor deze functionaliteit om aan NT4 te hangen. Ja ik heb het ook in de lucht geklopt. Breekt ze nu aardig op, eigenlijk al een beetje. Daarom is het ook zo'n bijzonder veilige infrastructuur in Nederland vol spaghetti-code en gaat er nooit wat mis.
Geen boodschap aan stack overflow, af te serveren of verlaten code. Welk bedrijfsnetwerk runt nog compleet de eigen tent?
Mannetjes die niet weten dat de lambda generator al lang online staat. Horende doven en ziende blinden. Ja ze zitten ook tussen Technische IT gasten. We begeleiden tegenwoordig meer dan dat we aan willen leren, maar die dat zegt heeft in die omgevingen al niets meer te zoeken, want kritiek dat steekt. Doe het dan zelf ook niet.
#sockpuppet
Door Anoniem:
Citrix heeft aan mogelijke aanvallers medegedeeld, dat aanvallen niet zinvol is, omdat niet op enige weerstand van betekenis gerekend hoeft te worden. Dit kan duren tot maanden nadat de patch is gepubliceerd. Citrix neemt aan dat eventuele aanvallers hier rekening mee houden. Ga dus maar rustig slapen, er kan niets gebeuren.Door Anoniem: Natuurlijk altijd goed om nu extra waakzaam te zijn / waar mogelijk extra maatregelen te nemen.
Er was verwarring over de werking van de patch en tegenstrijdige berichten van Citrix.DIt komt omdat Citrix onduidelijk is (geweest) over de lek en dat heel lang heeft geduurd dat ze tijdslijn hebben opgegeven over patches. Ook is na bijna een maand bekend geworden dat de maatregelen niet altijd werkte bij bepaalde versie(s) omdat er een andere bug in zat. Wegens onduidelijkheid en dat er geen 100% garantie is ondanks de maatregelen is het advies om het uit te schakelen of internet toegang blokkeren.
--
Betekend dit dat Citrix juridisch aansprakelijk is?
--
Betekend dit dat Citrix juridisch aansprakelijk is?
Door Anoniem: https://www.nu.nl/tech/6024623/schiphol-tweede-kamer-en-grote-gemeenten-zetten-citrix-servers-uit.html
".. Uit een scan van Nederlands Security Meldpunt bleek donderdagochtend dat nog 250 Nederlandse servers kwetsbaar zijn door het lek. "Je kunt ervan uitgaan dat deze servers inmiddels allemaal getroffen zijn door hackers", vertelt Frank Breedijk, cybersecurityexpert bij Nederlands Security Meldpunt, aan NU.nl .."
Op zaterdag 11 januari waren er in Nederland 713 kwetsbare Citrix servers (hosts):
https://www.security.nl/posting/639015/Honderden+Nederlandse+Citrix-servers+kwetsbaar+voor+aanvallen
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/
Hoeveel zijn daar nu nog van over?
zaterdag 11-01 713
donderdag 16-01 250
zaterdag 18-01 ...
Misschien kan Frank Breedijk een grafiekje maken van zijn scan-resultaten?
".. Uit een scan van Nederlands Security Meldpunt bleek donderdagochtend dat nog 250 Nederlandse servers kwetsbaar zijn door het lek. "Je kunt ervan uitgaan dat deze servers inmiddels allemaal getroffen zijn door hackers", vertelt Frank Breedijk, cybersecurityexpert bij Nederlands Security Meldpunt, aan NU.nl .."
Op zaterdag 11 januari waren er in Nederland 713 kwetsbare Citrix servers (hosts):
https://www.security.nl/posting/639015/Honderden+Nederlandse+Citrix-servers+kwetsbaar+voor+aanvallen
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/
Hoeveel zijn daar nu nog van over?
zaterdag 11-01 713
donderdag 16-01 250
zaterdag 18-01 ...
Misschien kan Frank Breedijk een grafiekje maken van zijn scan-resultaten?
Aanvullend:
Zaterdag 18-01 40 kwetsbare citrix netscaler gescand
https://nos.nl/nieuwsuur/artikel/2319236-citrix-we-volgden-na-lek-standaardprocedure-gebeurt-duizenden-keren-per-jaar.html
" .. Vandaag deed hij een nieuwe scan, en telde hij er nog veertig. Hij denkt dat veel bedrijven ook daadwerkelijk gehackt zijn. "Als je een dag of twee dagen na de exploit niet gepatcht hebt, mag je er vrij zeker van zijn dat je gehackt bent..."
Therefore, it is always recommended to check for traces of a compromise on your Citrix device. This does also apply to those organization who waited too long with following the mitigation steps after the release of the public exploit code on the 10thof January2020
https://resources.fox-it.com/rs/170-CAK-271/images/20200118_Citrix_advisory_UPDATE_1.pdf
Anothersecuritycompany published:
https://www.trustedsec.com/blog/netscaler-remote-code-execution-forensics/
a blogpost to check for forensics artifacts to find indicators that the vulnerability might have been successfully exploited.
20-01-2020, 09:19 door
The FOSS
Door Anoniem: Betekend [sic] dit dat Citrix juridisch aansprakelijk is?
Het zou me verbazen als dit soort aansprakelijkheid niet is uitgesloten of ten minste beperkt door hun voorwaarden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
