Updates, fixes en controle-script voor beveiligingsprobleem Citrix Netscaler 27/01/2020/in Blog, Citrix, Divers, Security and Performance /door loginconsultantsadmResterende Citrix fixes beschikbaar De resterende permanente fixes voor de eerder geïdentificeerde kwetsbaarheid bij Citrix, zijn nu beschikbaar voor alle klanten. Citrix ADC– versions 13.0, 12.1, 12.0, 11.1, and 10.5 Citrix Gateway– versions 13.0, 12.1, 12.0, 11.1, and 10.5 Citrix SD-WAN WANOP– versions 11.0.3 and 10.2.6 Citrix-script beschikbaar voor controle op misbruik Citrix heeft een script beschikbaar gesteld, waarmee je kunt controleren op misbruik of het compromitteren van de NetScaler Meer informatie hierover kun je lezen in dit blog: Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781 Updates: Beveiligingsprobleem Citrix NetScaler – fixes en controle-script Citrix heeft een fix uitgebracht voor de problemen met de NetScaler versies 11.1 en 12.0 https://www.citrix.com/downloads/citrix-adc/ In december heeft Citrix een ernstige kwetsbaarheid in NetScaler bekend gemaakt. Door dit beveiligingsprobleem kunnen kwaadwillende toegang krijgen tot het bestandssysteem van de NetScaler om zo gebruikers te besmetten met malware, ransomware aanvallen uit te voeren of botnet functionaliteiten toe te voegen. Citrix heeft direct mitigatie maatregelen aangeboden. Nu blijkt dat deze niet effectief zijn voor alle release versies van NetScaler. Zit je op release 12.1 van NetScaler en is de buildversie 12.1 51.19 of lager dan is het mogelijk dat deze maatregelen niet of niet goed werken. Ons advies: Implementeer de mitigerende maatregelen zoals aangegeven door Citrix: https://support.citrix.com/article/CTX267679 Als je gebruik maakt van NetScaler release 12.1 en de build is 51.19 of lager, voer een upgrade uit naar de laatste versie van release 12.1 Als je vermoedt dat de omgeving al is aangevallen? Onderneem dan de volgende stappen uit /var/log log kijk naar commando’s die misbruikt kunnen worden zoals curl, hostname, uname, whoami of commando’s die gerund worden onder nobody log, kijk hier naar verdachte activiteiten log, httperror.log, hier staan de IP adressen van de aanvallers ingelogd, aangezien de aanval geschiedt over de web interface, zoek naar http log berichten waar /vpn in de directory traversal aanval staan Zoek naar aangepaste bestanden in /netscaler/portal/templates /var/tmp/netscaler/portal/templates Kijk naar de draaiende processen, specifiek of er niet verdachte “child” processen zijn, vooral draaiend onder nobody Kijk of er cronjobs zijn met de eigenaar nobody https://www.loginconsultants.com/wp-content/uploads/2020/02/solution-logo.jpg 855 1920 loginconsultantsadm http://devlogin.wpengine.com/wp-content/uploads/2019/05/logo-login-BSFblue-300x141-300x142.png loginconsultantsadm2020-01-27 08:18:022020-02-27 08:34:07Updates, fixes en controle-script voor beveiligingsprobleem Citrix Netscaler