Updates, fixes en controle-script voor beveiligingsprobleem Citrix Netscaler
Resterende Citrix fixes beschikbaar
De resterende permanente fixes voor de eerder geïdentificeerde kwetsbaarheid bij Citrix, zijn nu beschikbaar voor alle klanten.
- Citrix ADC– versions 13.0, 12.1, 12.0, 11.1, and 10.5
- Citrix Gateway– versions 13.0, 12.1, 12.0, 11.1, and 10.5
- Citrix SD-WAN WANOP– versions 11.0.3 and 10.2.6
Citrix-script beschikbaar voor controle op misbruik
Citrix heeft een script beschikbaar gesteld, waarmee je kunt controleren op misbruik of het compromitteren van de NetScaler
Meer informatie hierover kun je lezen in dit blog: Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781
Updates: Beveiligingsprobleem Citrix NetScaler – fixes en controle-script
Citrix heeft een fix uitgebracht voor de problemen met de NetScaler versies 11.1 en 12.0
https://www.citrix.com/downloads/citrix-adc/
In december heeft Citrix een ernstige kwetsbaarheid in NetScaler bekend gemaakt. Door dit beveiligingsprobleem kunnen kwaadwillende toegang krijgen tot het bestandssysteem van de NetScaler om zo gebruikers te besmetten met malware, ransomware aanvallen uit te voeren of botnet functionaliteiten toe te voegen.
Citrix heeft direct mitigatie maatregelen aangeboden. Nu blijkt dat deze niet effectief zijn voor alle release versies van NetScaler. Zit je op release 12.1 van NetScaler en is de buildversie 12.1 51.19 of lager dan is het mogelijk dat deze maatregelen niet of niet goed werken.
Ons advies:
- Implementeer de mitigerende maatregelen zoals aangegeven door Citrix: https://support.citrix.com/article/CTX267679
- Als je gebruik maakt van NetScaler release 12.1 en de build is 51.19 of lager, voer een upgrade uit naar de laatste versie van release 12.1
Als je vermoedt dat de omgeving al is aangevallen? Onderneem dan de volgende stappen
uit /var/log
- log kijk naar commando’s die misbruikt kunnen worden zoals curl, hostname, uname, whoami of commando’s die gerund worden onder nobody
- log, kijk hier naar verdachte activiteiten
- log, httperror.log, hier staan de IP adressen van de aanvallers ingelogd, aangezien de aanval geschiedt over de web interface, zoek naar http log berichten waar /vpn in de directory traversal aanval staan
Zoek naar aangepaste bestanden in
- /netscaler/portal/templates
- /var/tmp/netscaler/portal/templates
Kijk naar de draaiende processen, specifiek of er niet verdachte “child” processen zijn, vooral draaiend onder nobody
Kijk of er cronjobs zijn met de eigenaar nobody
