image

Citrix lanceert gratis tool voor detectie gecompromitteerde systemen

woensdag 22 januari 2020, 15:37 door Redactie, 11 reacties

Softwarebedrijf Citrix heeft samen met securitybedrijf FireEye een gratis opensourcetool beschikbaar gemaakt waarmee organisaties kunnen controleren of hun Citrix-systemen door aanvallers zijn gecompromitteerd. Het gaat dan speciaal om aanvallen die misbruik van een kwetsbaarheid in Citrix maken waarvoor afgelopen zondag een eerste beveiligingsupdate verscheen.

Organisaties kunnen met de gratis tool lokaal hun Citrix-systemen scannen en zo snel achterhalen of die zijn gecompromitteerd. De tool, die compatibel is met alle ondersteunde versies van de Citrix Application Delivery Controller, Citrix Gateway en Citrix SD-WAN WANOP, maakt hiervoor gebruik van informatie over bekende aanvallen en exploits. Naast het toepassen van de mitigatiemaatregelen en installeren van de updates die op 19 januari verschenen en nog op 24 januari zullen verschijnen adviseert Citrix dat alle klanten deze tool draaien.

Citrix waarschuwt dat de tool geen garantie biedt dat alle aanvallen worden opgemerkt. In het geval er wel aanwijzingen van een gecompromitteerd systeem worden aangetroffen krijgen organisaties het advies om een forensisch onderzoek uit te laten voeren. De "Indicator of Compromise Scanner for CVE-2019-19781" is te downloaden via GitHub.

Reacties (11)
22-01-2020, 15:49 door karma4
Citrix waarschuwt dat de tool geen garantie biedt dat alle aanvallen worden opgemerkt.
Dan geeft het enkel een houvast voor de eerste acties, prioritering. Je zult meer moeten doen dan dit.
22-01-2020, 16:12 door Anoniem
Door karma4:
Citrix waarschuwt dat de tool geen garantie biedt dat alle aanvallen worden opgemerkt.
Dan geeft het enkel een houvast voor de eerste acties, prioritering. Je zult meer moeten doen dan dit.
Met deze kwetsbaarheid kan een aanvaller de machine helemaal pwnen, en dus ook bijvoorbeeld zijn sporen wissen. Vertel eens precies wat voor geautomatiseerde tool je zou gebruiken om een aanvaller op te sporen als hij zijn sporen gewist heeft?

Citrix zegt dat ze die garantie niet kunnen geven omdat dat gewoon niet mogelijk is. Dat snap je zeker zelf toch ook wel?
22-01-2020, 16:21 door Anoniem
Door karma4:
Citrix waarschuwt dat de tool geen garantie biedt dat alle aanvallen worden opgemerkt.
Dan geeft het enkel een houvast voor de eerste acties, prioritering. Je zult meer moeten doen dan dit.

".. Je zult meer moeten doen dan dit .."

1. Je bent uitgenodigd om een bijdrage te leveren aan deze open source tool, de code staat hier:
https://github.com/citrix/ioc-scanner-CVE-2019-19781/blob/master/build.sh
".. As you invent further ways to identify compromise, please consider contributing to this IoC (Indicator of Compromise) Scanner. We would like to provide the most thorough, correct scanner as possible .."

2. Het uitsluitend draaien van deze IoC tool is niet het doel, dat zeggen Citrix en FireEye zelf ook:
https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html
".. In addition to applying the previously released mitigation steps and installing the permanent updates that have been made available, Citrix and FireEye strongly recommend that all Citrix customers run this tool as soon as possible to increase their overall level of awareness of potential compromise and take appropriate steps to protect themselves .."

Uitstekend initiatief van Citrix en FireEye.
22-01-2020, 16:34 door Anoniem
Citrix hier Citrix daar, Citrix all over the place & news, om niet goed van te worden.

Wat is hier nu zo bijzonder aan? Een heel land dat blind vertrouwen heeft in een closed source buitenlands IT product en als blijkt dat hier een flink gat in zit (wat simpelweg nooit uit te sluiten is bij complexe hard/software combinaties) dan roept iedereen verontwaardigd 'hoe is het mogelijk'..?!

.Tsja... Hoe afhankelijk wil je zijn...
22-01-2020, 16:36 door Anoniem
Gelukkig is de tool gratis... Dat dan weer wel.
22-01-2020, 17:12 door Anoniem
Is er geen tool voor de gewone man met zijn computer, waarmee nagegaan kan worden of hun computers een veilige firewall hebben? De grote providers bieden wel allerlei dikke modems aan met allerlei mogelijkheden, maar de gemiddelde internetter in nederland stelt niets in omdat hij er geen verstand van heeft.
22-01-2020, 18:04 door Anoniem
Dit soort spullen kun je toch zonder veel effort herinstalleren? Waarom dan moeilijk doen, nieuw image erover en wat
settings doen en klaar. Het is niet dat er data of een boel applicaties op staan ofzo.
De eigenlijke Citrix servers zijn meestal meer werk en lastiger door te lichten (Windows systemen).
22-01-2020, 19:42 door karma4
Door Anoniem:
Citrix zegt dat ze die garantie niet kunnen geven omdat dat gewoon niet mogelijk is. Dat snap je zeker zelf toch ook wel?
En hoe denk je dat management er mee om zaal gaan? Draai dat tool doe wat daar staat maar verdiep je er niet verder in.
We zijn voldoende ingedekt en we zien verder wel. Zo is het altijd gegaan waarom zou het nu anders lopen?
22-01-2020, 21:31 door Anoniem
Door Anoniem: Gelukkig is de tool gratis... Dat dan weer wel.

Slimme zet van vooral FireEye. Zo leren mensen dit bedrijf kennen en dat maakt de drempel lager om later producten van ze aan te schaffen.
23-01-2020, 09:10 door Anoniem
Door karma4:
Door Anoniem:
Citrix zegt dat ze die garantie niet kunnen geven omdat dat gewoon niet mogelijk is. Dat snap je zeker zelf toch ook wel?
En hoe denk je dat management er mee om zaal gaan? Draai dat tool doe wat daar staat maar verdiep je er niet verder in.
We zijn voldoende ingedekt en we zien verder wel. Zo is het altijd gegaan waarom zou het nu anders lopen?
Hoe komt het in hemelsnaam opeens bij je op dat het de schuld van CITRIX is dat MANAGEMENT dingen verkeerd doet?

Ik stelde je een concrete vraag. Je zei dat Citrix meer had moeten doen mbt die tool. Wat dan?
23-01-2020, 14:15 door wallum
Door Anoniem: Is er geen tool voor de gewone man met zijn computer, waarmee nagegaan kan worden of hun computers een veilige firewall hebben? De grote providers bieden wel allerlei dikke modems aan met allerlei mogelijkheden, maar de gemiddelde internetter in nederland stelt niets in omdat hij er geen verstand van heeft.
De gewone man kan maar het beste erop vertrouwen dat zijn provider het veilig heeft ingesteld of overstappen op een andere provider die veiligheid hoog in het vaandel heeft staan. De materie is veel te complex voor de gemiddelde consument.

Gebruikers met meer kennis kunnen voor een poortscan sinds jaar en dag terecht bij Steve Gibson's Shields Up: https://www.grc.com
Zie ook: https://nl.wikipedia.org/wiki/Steve_Gibson
En er zijn vast nog veel meer sites met vergelijkbare tests.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.