Wijd verspreide kwetsbaarheid in Citrix Gateway en Citrix Application Delivery Controller

13 Jan 2020 - Frank Breedijk

English below

Het probleem

Op 17 december 2019 maakte Citrix bekend dat haar Citrix Application Delivery Controller (ADC) producten een kwetsbaarheid bevatten. Deze producten staan ook bekend onder de naam NetScaler ADC, Citrix Gateway en Netscaler Gateway. Misbruik van deze kwetsbaarheid stelt een aanvaller in staat om zonder zich te authenticeren willekeurige commando’s uit te voeren op deze apparaten.

Begin januari werd bekend dat kwaadwillende actief op zoek waren naar kwetsbare servers.

Op 11 januari maakte o.a. Project Zero Day India en Trusted Sec code openbaar die laat zien dat misbruik van deze kwetsbaarheid kinderlijk eenvoudig is.

Hoe op te lossen?

Citrix verwacht op korte termijn (vanaf 20 januari) patches beschikbaar te hebben. Wij adviseren u deze patches zo snel mogelijk te installeren.

Tot die tijd kan de kwetsbaarheid via de configuratie weggenomen worden. Deze commando’s kunnen echter alleen uitgevoerd worden wanneer er een geldige licentie geïnstalleerd is.

Houdt er rekening mee dat apparaten al voor het uitvoeren van de patch door een aanvaller overgenomen kunnen zijn.

Update: Dit artikel bevat meer informatie over hoe je kunt controleren of je Citrix ADC is overgenomen.

Wat wij doen…

Vanochtend ca 11:00 waren er bij het Security Meldpunt 546 via het publieke internet bereikbare kwetsbare Citrix ADC servers bekend. Wij zijn op dit moment actief bezig de beheerders van de netwerken waar deze servers in staan op de hoogte te stellen


English

The problem

On December 17th Citrix published a vulnerability in Citrix Application Delivery Controller (ADC) products. These products are also known as NetScaler ADC, Citrix Gateway en Netscaler Gateway. Exploitation of the vulnerability allows an attack to execute arbitrary commands on these servers.

In early January it became clear that attackers were actively probing for vulnerable servers.

On the 11th of January various sources, e.g. Project Zero Day India and Trusted Sec published exploitation code that demonstrated that exploiting the vulnerabiulity is trivial.

What to do?

Citrix has announced that patches will be available soon (from January 20th onward). We advise you to install these patches a.s.a.p.

Until that time the vulnerability can be mitigated via the configuration. We advise you to apply this mitigation now! Please note that a valid license is required to implement this mitigation.

Please take note that it is possible that devices that did not have patches or mitigations applied may already have been taken over by an attacker.

Update: This article contains information on how to check if/how your Citrix AC is compromised.

What we are doing.

As of this morning around 11:00 we were aware of 546 publicly accessible vulnerable devices in The Netherlands. We are currently actively informing the owners of the networks containing vulnerable devices.