Updates, fixes en controle-script voor beveiligingsprobleem Citrix Netscaler

Resterende Citrix fixes beschikbaar

De resterende permanente fixes voor de eerder geïdentificeerde kwetsbaarheid bij Citrix, zijn nu beschikbaar voor alle klanten.

Citrix-script beschikbaar voor controle op misbruik

Citrix heeft een script beschikbaar gesteld, waarmee je kunt controleren op misbruik of het compromitteren van de NetScaler

Meer informatie hierover kun je lezen in dit blog: Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781

Updates: Beveiligingsprobleem Citrix NetScaler – fixes en controle-script

Citrix heeft een fix uitgebracht voor de problemen met de NetScaler versies 11.1 en 12.0

https://www.citrix.com/downloads/citrix-adc/

In december heeft Citrix een ernstige kwetsbaarheid in NetScaler bekend gemaakt. Door dit beveiligingsprobleem kunnen kwaadwillende toegang krijgen tot het bestandssysteem van de NetScaler om zo gebruikers te besmetten met malware, ransomware aanvallen uit te voeren of botnet functionaliteiten toe te voegen.

Citrix heeft direct mitigatie maatregelen aangeboden. Nu blijkt dat deze niet effectief zijn voor alle release versies van NetScaler. Zit je op release 12.1 van NetScaler en is de buildversie 12.1 51.19 of lager dan is het mogelijk dat deze maatregelen niet of niet goed werken.

Ons advies:

  • Implementeer de mitigerende maatregelen zoals aangegeven door Citrix: https://support.citrix.com/article/CTX267679
  • Als je gebruik maakt van NetScaler release 12.1 en de build is 51.19 of lager, voer een upgrade uit naar de laatste versie van release 12.1

Als je vermoedt dat de omgeving al is aangevallen? Onderneem dan de volgende stappen

uit /var/log

  • log kijk naar commando’s die misbruikt kunnen worden zoals curl, hostname, uname, whoami of commando’s die gerund worden onder nobody
  • log, kijk hier naar verdachte activiteiten
  • log, httperror.log, hier staan de IP adressen van de aanvallers ingelogd, aangezien de aanval geschiedt over de web interface, zoek naar http log berichten waar /vpn in de directory traversal aanval staan

Zoek naar aangepaste bestanden in

  • /netscaler/portal/templates
  • /var/tmp/netscaler/portal/templates

Kijk naar de draaiende processen, specifiek of er niet verdachte “child” processen zijn, vooral draaiend onder nobody

Kijk of er cronjobs zijn met de eigenaar nobody

 

Citrix LTSR Upgrade, wel of niet?

Citrix biedt ‘XenApp/XenDesktop/Virtual Apps and Desktops’ niet alleen aan onder verschillende namen maar ook met verschillende ‘service offerings’. Net als bij Microsoft kun je kiezen om elke product-update door te voeren en zo te profiteren van de laatste nieuwe patches en verbeteringen of je kiest voor een ‘long term service release’ (LTSR). Daarmee staat er minder druk op het testen en doorvoeren van updates. Je moet dan wel langer wachten op de verbeteringen/uitbreidingen van het product.

Een overzicht van de verschillen tussen ‘CR’ (current release) en ‘LTSR’ is weergegeven in deze tabel:

De verschillende namen en offerings maken het Citrix-programma er niet echt inzichtelijker op (dat is overigens voor de verschillende Windows versies ook het geval). Zeker niet omdat Citrix besloten heeft om af te stappen van de 7.xx versie-nummering en nu werkt met <jaar><maand> (dus 1912 is december 2019) benamingen.

De ‘current release’ wordt elke 6 maanden vernieuwd en blijft 18 maanden na de release-datum ‘supported’;

De ‘LTSR’ wordt constant bijgewerkt met de bekende ‘cumulatieve updates’ (CU) tot de ‘End of Life’ datum. Hierdoor zijn er minder tussentijdse changes nodig en blijft de omgeving statischer.

De ondersteuning voor de verschillende LTSR en CR versies met EOL data is te vinden in deze tabel;

De uitbreidingen en verbeteringen in de verschillende CR versies en de LTSR-versies zijn in dit PDF-bestand terug te vinden.

Hoe beslis je welke versie voor jou geschikt is?

Als je nog geen XenApp of XenDesktop gebruikt moet je dus gaan kiezen tussen de CR of de LTSR variant. In deze blog-post wordt goed uitgelegd dat het enerzijds belangrijk is om vast te stellen wat de beschikbare kennis en capaciteit aan de beheerkant is en anderzijds of de gebruikers daadwerkelijk gebruik maken van de verbeteringen en uitbreidingen in nieuwere releases.

Voor ‘nieuwe’ Citrix gebruikers is er echter nog een optie: je kunt er namelijk ook voor kiezen om Citrix Cloud services af te nemen. Deze worden door Citrix bijgewerkt naar de laatste versie, zodat jij daar geen omkijken meer naar hebt. Jij (en jouw medewerkers) profiteert dan direct van de verbeteringen en uitbreidingen zonder dat dit extra beheerlast veroorzaakt.

De nieuwste LTSR-versie bevat alle verbeteringen en uitbreidingen uit eerdere ‘CR’-releases (voor een compleet overzicht kunt u eerder genoemd PDF-bestand raadplegen). We lichten er de volgende tien ‘features’ even uit:

  1. Thin Provisioning van Block Storage (GFS2)
    In de nieuwste Citrix XenServer hypervisor versie kan gebruik gemaakt worden van ‘GFS2’ storage (naast LVM, EXT3 en NFS) waardoor ‘eindelijk’ echte ‘thin provisioned’ VDI-images kunnen worden gebruikt. Dit scheelt in storage-kosten (als je de Citrix Hypervisor gebruikt).
  2. Verbeteringen Linux VDA
    Bijvoorbeeld ‘fast smart card’ support (zie voor de complete lijst verbeteringen zie ook het PDF-bestand).
  3. Verbeteringen in Citrix Director
    De ‘Director’ beheerconsole is verder uitgebreid en er kan in meer detail worden gekeken naar sessie-eigenschappen (zoals logon performance). Zie bijgaand screenshot voor een kleine indruk:

  1. User Personalization (Layering)
    Naast de ‘App Layering’ kan nu ook een extra virtual disk gekoppeld worden waarop User data en applicaties kunnen worden opgeslagen. Collega Vincent van Zeijlheeft deze feature bekeken en beschreven in dit blog-artikel.
  2. MCS I/O (verbeterde Write Cache)
    Ook bij de ‘Machine Creation Services’ techniek wordt de ‘Write Cache’ opgeslagen in snel RAM-geheugen met een overloop naar disk waar nodig. Dit wordt ‘MCSIO’ genoemd. In de nieuwste LTSR is de ‘MCSIO’ verder verbeterd (dit is voor ‘PVS’ gebruikers minder interessant).
  3. PVS asynchrone I/O (betere performance)
    De ‘Cache in RAM’ feature is verder verbeterd doordat de ‘disk overflow’ nu gelijktijdig plaatsvindt met de ‘cache in RAM’ en het ‘on-demand’ streamen van disk data. Deze asynchrone I/O zorgt voor nog betere performance.
  4. HDX Insight 2.0
    In grote Citrix omgevingen kan het zinvol zijn om met behulp van NetScaler Insight (nu ‘ADM’ oftewel Application Delivery Management) gebruik te maken van uitgebreide data monitoring. Wat wel en wat niet gemonitord wordt hangt af van welke ADM-licenties je aanschaft. De verwerking van deze monitoring data loopt in de nieuwste LTSR-versie over een ‘eigen’ HDX virtual channel wat resulteert in een betere schaalbaarheid,
  5. Ondersteuning voor Outlook Search, Skype en Teams
    Naast de ‘User Personalization Layer’ kan nu ook gebruik gemaakt worden van een geïntegreerde ‘profile disk’ waar bijvoorbeeld Outlook Search data op weggeschreven wordt. Als je gebruik maakt van Citrix Profile Management zorgt deze verbetering voor een aanmerkelijk betere logon performance (vergelijkbaar met bijv. FSLogix Profile containers). Daarnaast is de Microsoft Skype en Microsoft Teams Optimization ook onderdeel van de nieuwste LTSR.
  6. HDX protocol verbeteringen (EDT, Adaptive Throughput, Local Text echo)
    Enhanced Data Transport, Adaptive Throughput en bijv. ‘Local Tekst Echo’ zijn drie voorbeelden van verbeteringen/uitbreidingen in het ‘HDX-protocol (voorheen bekend als ‘ICA’). Om deze verbeteringen te kunnen gebruiken moet je naast de laatste LTSR-versie (en dus de ‘Virtual Delivery Agent’) ook de nieuwste Citrix Receiver gebruiken.
  7. Betere integratie met Citrix Cloud
    Hieronder verstaan we diverse kleine verbeteringen in de integratie met Microsoft Azure, AWS en Google Cloud Platform. Als je Citrix inzet of in wilt gaan zetten in (hybride) cloud scenarios is het zaak om te zorgen dat je over de laatste LTSR-versie beschikt.

Moet je nu onmiddellijk je huidige Citrix omgeving upgraden?

Het antwoord op die vraag hangt af van een paar aspecten.

  • Welke versie gebruik je. Je kunt in de tabel met ‘End of Life’ en ‘End of Support’ data vinden hoelang de omgeving nog ‘supported’ is.
  • Beschikt je over geldige ‘maintenance subscription’. Mocht je twijfelen dan kunnen wij dit voor je uitzoeken.
  • Beschikt je over voldoende capaciteit op je beheer-afdeling.
  • Wat betekenen de tien door ons uitgelichte ‘features’ in de praktijk voor jouw omgeving.

Op het eerste gezicht is de nieuwste LTSR-versie niet voor iedereen van even groot belang (bijvoorbeeld als je de Citrix Hypervisor niet gebruikt, of geen gebruik maakt van Linux VDA). Toch is er wel performance-winst te behalen. Deze performance verbeteringen zitten onder meer in een betere write cache I/O bij zowel MCS en PVS, maar ook in Citrix Profile Management en de Microsoft Teams ondersteuning. Bovendien bevat de nieuwste LTSR-versie naast de tien genoemde punten ook de (vele) kleine verbeteringen en vernieuwingen uit eerdere CR-releases.

Als je hier eens verder over wilt praten, neem dan contact met ons op. Wij zijn je graag tot dienst met advies en/of uitvoering.

Door Réne Lindeboom

Citrix Solution Day in vogelvlucht

Citrix-werkplekken in de cloud zijn hemels

De 5 voordelen van Citrix Cloud

Citrix Synergy 2017 in Orlando

Citrix specialisten bij Login Consultants