Alle acties van NEH op het Citrix beveiligingslek

Gepubliceerd op: 20-01-2020

Op 17 december 2019 heeft Citrix een melding gemaakt over een kwetsbaarheid in Citrix Application Delivery Controller en Citrix Gateway. Deze kwetsbaarheid, met als identificatie CVE-2019-19781 (CVSS3.0: 9.8), zou kunnen leiden tot o.a. externe toegang tot de backend van de Citrix apparatuur zonder dat authenticatie nodig is. In dit bericht houdt NEH u op de hoogte over de ontwikkelingen omtrent dit issue.

EERSTE REACTIE NEH

Dinsdag 14 januari om 12.43 uur is er een mail verzonden naar alle OC'ers met informatie rondom de Citrix beveiligingslek.

Beste <Naam>,

Op 17 december 2019 heeft Citrix een melding gemaakt over een kwetsbaarheid in Citrix Application Delivery Controller en Citrix Gateway. Deze kwetsbaarheid, met als identificatie CVE-2019-19781 (CVSS3.0: 9.8), kan leiden tot o.a. externe toegang tot de backend van de Citrix-apparatuur zonder dat authenticatie nodig is.

Afgelopen weekend zijn er meerdere mogelijkheden gelekt om deze kwetsbaarheid uit te buiten. De volledige beschrijving hiervan heeft Citrix niet bekend gemaakt. Door naar de mitigatiestappen te kijken, zien wij dat de kwetsbaarheid mogelijk te maken heeft met het afhandelen van aanvragen die gebruikmaken van het opvragen van mappen. Een aanvaller kan deze methode gebruiken om bestanden op te vragen die in mappen zijn geplaatst, welke normaal gesproken niet te bereiken zouden zijn.

Actie NEH

Wij hebben op 23 december mitigerende acties uitgevoerd en wachten nu op de software-update van Citrix. Deze update verwachten wij rond 20 januari en wordt dan zo snel mogelijk doorgevoerd. Daarnaast heeft de SOC/SIEM dienst van Northwave, onze beveiligingspartner, alle tot nu toe bekende indicatoren toegevoegd aan hun detectieplatform.

Op dit moment zijn alle mogelijke maatregelen getroffen om deze kwetsbaarheid onschadelijk te maken. Wij zien dat alle aanvalspogingen succesvol worden geblokkeerd. Mocht je nog vragen hebben naar aanleiding van dit bericht, dan kun je contact opnemen met onze Servicedesk: 033 – 434 30 85.

~~~

TWEEDE REACTIE NEH

Vrijdag 17 januari om 11.20 uur is er een mail verzonden naar alle OC'ers met aanvullende informatie rondom de Citrix beveiligingslek.

Beste <Naam>,

Afgelopen dinsdag heb jij van ons een e-mail ontvangen met berichtgeving rondom de beveiligingslek van Citrix. Om aanvullende vragen te beantwoorden en jou volledig op de hoogte te houden, ontvang je deze e-mail met additionele informatie.

Op 16 januari 2020 heeft het Nationaal Cyber Security Centrum (NCSC) een nieuwsbericht gepubliceerd waarin werd aangegeven dat bepaalde softwareversies van Citrix Netscaler niet goed om zouden gaan met de tussentijdse maatregelen van Citrix. Wij kunnen je melden dat NEH geen gebruik maakt van de door het NCSC genoemde softwareversies. Wij gebruiken een nieuwere versie. Daarnaast zijn de maatregelen op al onze Citrix Netscalers effectief bevonden.

Nieuwe sensoren SOC/SIEM partner

Aanvullend heeft onze SOC/SIEM partner hun detectieplatform voorzien van nieuwe sensoren, waar alle NEH Netscalers op aangesloten zitten. Hierdoor worden eventuele aanvallen direct gezien en geblokkeerd. 

Totdat er een officiële patch door Citrix wordt uitgebracht (verwacht 20 januari 2020), houden wij de nieuwsbronnen rond deze kwetsbaarheid nauwlettend in de gaten.

Contact

Mocht je nog vragen hebben naar aanleiding van dit bericht dan kun je contact opnemen met onze Servicedesk via 033 - 43 43 085

~~~

DERDE REACTIE NEH

Maandag 20 januari om 10.40 uur is er wederom een update gemaild naar onze klanten (OC'ers) met informatie rondom de Citrix beveiligingslek.

Beste <Naam>,

Dit is een aanvulling van NEH op de behandeling van de Citrix Kwetsbaarheid (CVE-2019-19781). Steeds meer organisaties vinden het noodzakelijk om hun Citrix Netscaler portal offline te zetten, zodat ze er zeker van om de hackers buiten de deur te houden. 

Ruim voordat het misbruik van dit lek begon, hebben wij al maatregelen getroffen om deze kwetsbaarheid onmogelijk te maken. Northwave, onze security partner, heeft grootschalig onderzoek verricht naar deze kwetsbaarheid en concludeerde afgelopen vrijdag het volgende:

“Op dit moment heeft Northwave alle informatie die publiek beschikbaar is over deze kwetsbaarheid geanalyseerd. Naast deze informatie heeft Northwave ook de beschikbare exploits en diverse incidenten geanalyseerd waar Citrix servers gecompromitteerd zijn middels deze kwetsbaarheid.

Op dit moment constateren we dat de mitigatie-maatregelen die Citrix beschrijft, effectief zijn. Het updaten van de software, waar nodig, en daarna toepassen van de mitigatie-maatregelen, voorkomt misbruik middels de bekende exploit. Op basis van deze feiten zien wij geen reden om Citrix diensten die van deze maatregelen zijn voorzien, offline te brengen.”

Gedragen door onze eigen kennis, en deze bevindingen van Northwave hebben wij het niet noodzakelijk gevonden om massaal de thuiswerkportalen van onze klanten offline te halen.

Uiteraard zullen wij samen met Northwave blijven monitoren en de nieuwsfeeds in de gaten houden.

~~~

VIERDE REACTIE NEH

Donderdag 30 januari om 13.28 uur is er wederom een update gemaild naar onze klanten (OC'ers) met informatie rondom de Citrix beveiligingslek.

In de afgelopen weken hebben wij je geïnformeerd over de voortgang van de Citrix kwetsbaarheid (CVE-2019-19781). Afgelopen zondag hebben wij deze kwetsbaarheid definitief opgelost.

Door proactief op te treden en op het juiste moment maatregelen te treffen, konden wij de Citrix portals openhouden. Met behulp van scripts die ontwikkeld zijn door Citrix en haar security partner FireEye Mandiant, hebben wij vast kunnen stellen dat onze Citrix portals niet gehackt zijn.

Hiermee ronden wij de Citrix kwetsbaarheid definitief af.

var ci = new cookieinfo(options); ci.run();