NCSC: Installeer Citrix-patches of maak herstelplan

20 januari 2020 12:03 | Suzanne Martens

Citrix stelt de eerste patches voor de kwetsbaarheden in Citrix ADC en Citrix Gateway-servers beschikbaar. De Amerikaanse organisatie adviseert om de patches zo snel mogelijk te installeren. Het Nationaal Cyber Security Centrum (NCSC) stelt dat enkel organisaties die voor 9 januari de mitigerende maatregelen hebben toegepast, deze patches moeten installeren. Wanneer dit niet is gebeurd, vreest het NCSC dat deze klanten gecompromitteerd zijn en aldus een herstelplan moeten opstellen.

Citrix maakte vorige maand bekend dat de Citrix Application Delivery Controller (ADC) en de Citrix Gateway-servers een kwetsbaarheid bevatten waarmee kwaadwillende op afstand toegang kunnen verkrijgen tot het lokale netwerk en systemen. Het zou om ruim zevenhonderd Nederlandse klanten gaan.

De Amerikaanse leverancier van virtuele desktops stelt firmware-updates beschikbaar om klanten te beschermen tegen exploitatie van het lek. In de tussentijd biedt het mitigerende maatregelen aan. Het NCSC liet voor het weekend weten dat er onduidelijkheid bestaat over de door Citrix geadviseerde mitigerende maatregelen. De cyberwaakhond adviseerde organisaties daarom, wanneer de impact enigszins beperkt lijkt, de Citrix ADC- en Gateway-servers uit te schakelen.

Gecompromitteerd

Versie 12.1 build 50.28

Voor de versie 12.1 build 50.28 heeft Citrix een probleem aangegeven dat van invloed is op de mitigerende maatregelen. Organisaties die deze versie gebruiken moeten controleren of de mitigerende maatregelen volledig en op de juiste manier zijn doorgevoerd, inclusief de maatregelen voor bescherming van de managementinterface. Indien dit niet het geval is, kunnen klanten er redelijkerwijs van uit gaan dat het systeem is gecompromitteerd. Voor overige versies geldt dit probleem niet.

Nu Citrix de eerste patches beschikbaar stelt, adviseert het NCSC over de installatie hiervan. Hierbij maakt de organisatie onderscheid tussen klanten die voor of na 9 januari de mitigerende maatregelen hebben toegepast.

‘Patchen is alleen effectief als uw netwerk niet gecompromitteerd is’, schrijft de cyberwaakhond in het advies. ‘Op basis van de risicoafweging binnen uw organisatie kunt u bepalen in hoeverre dit aannemelijk is. Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits.’

Het NCSC adviseert gecompromitteerde klanten om een herstelplan op te stellen. Zij moeten de gecompromitteerde systemen afkoppelen van internet en deze vervolgens aanbieden bij een partij voor forensisch onderzoek. Vervolgens beveelt NCSC aan om Citrix-systemen te herinstalleren en deze te voorzien van de mitigerende maatregelen en de patches zodra die beschikbaar zijn.

Indien klanten de mitigerende maatregelen voor 9 januari hebben toegepast, raadt het NCSC aan om de patch zo snel mogelijk te installeren. Het waarschuwt om waakzaam te zijn en enkel patches te installeren die afkomstig zijn van een vertrouwde bron.

Monitoren

In alle gevallen adviseert het NCSC om ook na het nemen van mitigerende maatregelen, waaronder patches, te blijven monitoren en detectie toe te passen op de kwetsbaarheden. ‘Vergeet hierbij niet de systemen die verbonden zijn geweest met de kwetsbare systemen gedurende het tijdsvenster van compromittatie', aldus NCSC.