Citrix ontdekt kwetsbaarheid in hun Netscaler
Het is gelukkig al weer even geleden sinds de vorige keer, maar Citrix heeft gisteravond gewaarschuwd voor een nieuw ontdekte kwetsbaarheid in hun Netscaler ADC en Citrix Gateway product families. Deze nieuwe kwetsbaarheid komt voor in alle versies van de producten, van versie 10.5 tot aan de nieuwste versie 13 voor zowel de virtuele VPX varianten als de MPX en SDX hardware modellen van de desbetreffende producten.
Alle informatie is in het Engels te vinden op de gepubliceerde Security Bulletin van Citrix: https://support.citrix.com/article/CTX267027.
De kwetsbaarheid heeft inmiddels ook een CVE toegewezen gekregen, CVE-2019-19781, echter zijn er op dit moment geen verdere details bekend: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781
Hoewel er nog weinig details bekend zijn over de kwetsbaarheid; er is bijvoorbeeld niet bekend wat de kwetsbaarheid precies inhoud en of deze al kan worden uitgebuit door kwaadwillende, is deze serieus genoeg voor Citrix om gebruikers van de producten met klem te adviseren om direct mitigerende maatregelen te treffen, zolang er nog geen permanente oplossing voor handen is in de vorm van een firmware update.
Deze maatregelen betreffen een zogenaamde responder policy en een bij behorende action:
add responder policy ctx267027 “HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(“/vpns/”) && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(“/../”))” respondwith403
add responder action respondwith403 respondwith “”HTTP/1.1 403 Forbiddenrnrn””
Vervolgens dient deze policy op globaal niveau toegepast te worden:
bind responder global ctx267027 1 END -type REQ_OVERRIDE
Om ook de management interface te beveiligen dienen deze wijzigingen ook op de management interface toegepast te worden met de onderstaande commando’s:
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell “echo ‘nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0’ >> /nsconfig/rc.netscaler”
Met de bovenstaande policy wordt de toegang tot de URL waarin in de desbetreffende URI de tekst ‘/vpns/’ voorkomt, ontzegd door middel van het sturen van een http 403 status naar de cliënt.
Wanneer er backend services zijn die door de Netscaler worden ontsloten door een Content Switching of Load Balancing vServer welke ook de tekst ‘/vpns/’ in de URL bevatten, zal de toegang tot deze URL’s hiermee ook worden ontzegd en daardoor niet meer juist kunnen functioneren.
Voor een HA pair of een cluster dienen er nog enkele additionele stappen gevolgd te worden. Voor meer informatie over de mitigerende maatregelen, zie https://support.citrix.com/article/CTX267679
Hoewel veel bedrijven in de maand december vaak geen wijzigingen meer doorvoeren en een in slecht Nederlands een zogenaamde ‘Change freeze’ hebben ingevoerd, in verband met de bijvoorbeeld een onderbezetting tijdens de aankomende feestdagen, raden wij toch ook net als Citrix met klem aan om voor alle getroffen Netscalers de bovenstaande policy te implementeren.
Zoals altijd is het daarbij aan te raden om voorafgaand aan de werkzaamheden de Netscaler configuratie veilig te stellen doormiddel van een backup, en om de policy eerst in een test omgeving uit te voeren alvorens deze in productie door te voeren.
In het veld kom ik nog regelmatig bedrijven tegen die, om legio redenen, hun Netscalers niet up-to-date houden. Inmiddels het updaten van Windows computers goed ingeburgerd, maar het bijhouden van de firmware overige netwerk componenten zoals Netscaler, wordt vaak niet bij stil gestaan. Deze componenten worden vaak gezien als complex. ICT partners heeft als Citrix gold partner zeer brede kennis en uitgebreide samenwerking met leveranciers zoals Citrix. Met onze kennis kunnen wij u adviseren en ondersteunen bij het beheer en lifecycle management van onder kleine, grote en complexe Netscaler omgevingen.
Zodra er een beveiligingsupdate, in de vorm van een firmware update, beschikbaar is zullen wij dit via onze website en Twitter melden.