Updates, fixes en controle-script voor beveiligingsprobleem Citrix Netscaler

Resterende Citrix fixes beschikbaar

De resterende permanente fixes voor de eerder geïdentificeerde kwetsbaarheid bij Citrix, zijn nu beschikbaar voor alle klanten.

Citrix ADC– versions 13.0, 12.1, 12.0, 11.1, and 10.5
Citrix Gateway– versions 13.0, 12.1, 12.0, 11.1, and 10.5
Citrix SD-WAN WANOP– versions 11.0.3 and 10.2.6

Citrix-script beschikbaar voor controle op misbruik

Citrix heeft een script beschikbaar gesteld, waarmee je kunt controleren op misbruik of het compromitteren van de NetScaler

Meer informatie hierover kun je lezen in dit blog: Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781

Updates: Beveiligingsprobleem Citrix NetScaler – fixes en controle-script

Citrix heeft een fix uitgebracht voor de problemen met de NetScaler versies 11.1 en 12.0

https://www.citrix.com/downloads/citrix-adc/

In december heeft Citrix een ernstige kwetsbaarheid in NetScaler bekend gemaakt. Door dit beveiligingsprobleem kunnen kwaadwillende toegang krijgen tot het bestandssysteem van de NetScaler om zo gebruikers te besmetten met malware, ransomware aanvallen uit te voeren of botnet functionaliteiten toe te voegen.

Citrix heeft direct mitigatie maatregelen aangeboden. Nu blijkt dat deze niet effectief zijn voor alle release versies van NetScaler. Zit je op release 12.1 van NetScaler en is de buildversie 12.1 51.19 of lager dan is het mogelijk dat deze maatregelen niet of niet goed werken.

Ons advies:

Implementeer de mitigerende maatregelen zoals aangegeven door Citrix: https://support.citrix.com/article/CTX267679
Als je gebruik maakt van NetScaler release 12.1 en de build is 51.19 of lager, voer een upgrade uit naar de laatste versie van release 12.1

Als je vermoedt dat de omgeving al is aangevallen? Onderneem dan de volgende stappen

uit /var/log

log kijk naar commando’s die misbruikt kunnen worden zoals curl, hostname, uname, whoami of commando’s die gerund worden onder nobody
log, kijk hier naar verdachte activiteiten
log, httperror.log, hier staan de IP adressen van de aanvallers ingelogd, aangezien de aanval geschiedt over de web interface, zoek naar http log berichten waar /vpn in de directory traversal aanval staan

Zoek naar aangepaste bestanden in

/netscaler/portal/templates
/var/tmp/netscaler/portal/templates

Kijk naar de draaiende processen, specifiek of er niet verdachte “child” processen zijn, vooral draaiend onder nobody

Kijk of er cronjobs zijn met de eigenaar nobody

Cookie	Cookie used and domain	Typ of Cookie	What does it do?	How long is the cookie saved?
	SESSxxxxxxxxxxxxxxxxxxx basefarm.com	Session cookie	The cookie is used to keep information (not password) about the site editors (Basefarm marketing department)	The cookie is deleted after each session.
Google Analytics	[_utma, _utmb, _utmc, _utmz, _ga][Google domain]	Link	Link	Link
Pardot	Pardot, visitor_id128211, lpv128211 pi.pardot.com	Third party cookie	Link	The cookie is deleted after each session.
ProspectEye	pe99dd216ea3 tr.prospecteye.com	Third party cookie	Link	10 months

Cookie used and domain

Typ of Cookie

What does it do?

How long is the cookie saved?

SESSxxxxxxxxxxxxxxxxxxx

basefarm.com

Session cookie

The cookie is used to keep information (not password) about the site editors (Basefarm marketing department)

The cookie is deleted after each session.

Google Analytics

[_utma, _utmb, _utmc, _utmz, _ga][Google domain]

Link

Pardot

Pardot, visitor_id128211, lpv128211

pi.pardot.com

Third party cookie

Link

The cookie is deleted after each session.

ProspectEye

pe99dd216ea3

tr.prospecteye.com

Third party cookie

Link

10 months

Resterende Citrix fixes beschikbaar

Citrix-script beschikbaar voor controle op misbruik

Updates: Beveiligingsprobleem Citrix NetScaler – fixes en controle-script

Cookie and Privacy Settings