Skip to the content.

Nederlands Security Meldpunt

Het Nederlandse meldpunt voor kwetsbaarheden, infecties en andere (cyber)security gerelateerde zaken.

DIVD-2020-00001 - Citrix ADC

English below

Update 26-1-2020 10:33

Our reference DIVD-2020-00001
Case lead Frank Breedijk
CVE(s) CVE-2019-19781
Products Citrix ADC / Citrix Gateway / Netscaler ADC / Netscaler Gateway / Citrix SD-WAN WANOP
Versions ADC versions 10, 11.1, 12.0, 12.1 and 13
SD-WAN WANOP versions 10.2.6 and 11.0.3
Patches Final for All versions
Workaround Yes, but not 100% effective
Recommendation Don’t use unpatched systems. Make sure systems are clean before patching

English below

Samenvatting

Op 24-12-2019 werd bekend dat het product Citrix ADC / Citrix Gateway / Netscaler ADC / Netscaler Gateway (hierna Citrix ADC) een ernstig lek bevat waardoor het eenvoudig mogelijk is het systeem over te nemen. Voor versie 11.1 en 12.0 zijn inmiddels patches beschikbaar. Voor de andere versies worden de patches op 24-1 verwacht. Voor het downloaden van patches is een Citrix portal account nodig. Voor systemen waar nog geen patches voor zijn/waren is er een mitigatie beschikbaar die de kwetsbaarheid verminderd. Deze bleek echter niet 100% betrouwbaar. Het NCSC adviseert dan ook indien mogelijk Citrix ADC systemen zonder patch niet te gebruiken.

Aanvallers scannen massaal het internet af naar kwetsbare systemen die vervolgens worden overgenomen.

Op basis van een risico analyse is het verstandig, alvorens de patches te installeren, uit te sluiten of het systeem reeds door aanvallers is gecompromitteerd.

Additionele maatregelen zijn:

(Met dank aan NCSC Advies)

Het Security Meldpount scant naar systemen waarvan wij op afstand vast kunnen stellen dat de mitigatie niet is uitgevoerd of werkt en sturen hiervan bericht naar de beheerders van het netwerk waar deze systemen in staan. Hierbij concentreren wij ons op systemen in of gelieerd aan Nederland.

Het aantal ongemitigeerde systemen neem gelukkig af. Grafiek met aantal ongemitigeerde systemen

Tijdslijn

Datum Omschrijving
17-12-2019 Citrix meldt een kwetsbaarheid in Citrix ADC. En raadt iedereen aan om op deze systemen een mitigatie te implementeren.
9-1-2019 Onderzoekers melden dat er actief gezocht wordt naar kwetsbare systemen
11-1-2020 Exploit code is publiek beschikbaar o.a. van Project Zero Day India en Trusted Sec
13-1-2020 Het Nederlands Security Meldpunt activeert zichzelf
14-1-2020 Eerste notificaties worden uitgestuurd door Het Security Meldpunt
15-1-2020 Blog post met links naar artikelen om vast te stellen of een ADC gecompromitteerd is
16-1-2020 Het NCSC meldt dat de mitigatie niet betrouwbaar is en adviseert te overwegen Citrix ADC systemen af te sluiten. Het Security Meldpunt besluit het scannen en melden tijdelijk te staken
17-1-2020 Het NCSC verduidelijkt het advies van 16-1: “Schakel Citrix-systemen uit waar dat kan of tref aanvullende maatregelen”.
het Security Meldpunt gaat door met scannen en melden.
19-1-2020 Patches beschikbaar voor versie 11.1 and 12.0. Dit is één dag eerder dan eerder gecommuniceerd. De datum waarop patches voor versie 12.1 en 13 is vervroegd van 27-1 naar 24-1. De datum waarop parches voor versie 10 beschikbaar zijn is vervroegd van 31-1 naar 24-1
24-1-2020 Citrix verwacht op deze datum patches beschikbaar te hebben voor versie 10, 12.1 en 13 van Citrix ADC en voor SD-WAN WANOP
26-1-2020 Citrix heeft de definitieve patches (eerder) uitgebracht voor alle versies. Daarnaast is er een testtool beschikbaar gesteld om te controleren of er potentieel misbruik is gemaakt van de kwetsbaarheid en er IOC’s op het systeem aanwezig zijn

English


Summary

On 24-12-2019 Citrix ADC / Citrix Gateway / Netscaler ADC / Netscaler Gateway (hereafter Citrix ADC) appeared to contain a serious vulnerability that allows an attacker to trivially take over a system. Patches are available for version 11.1 and 12.0. Patches for the other versions are expected on 24-1. A valid Citrix portal account is needed to download these patches. For systems that are currently upatched there is a mitigation that reduces the vulnerability. However, this mitigation turned out not to be 100% reliable. The Dutch NCSC strongly recommends to not use Citrix ADC systems that are unpatched if possible (translation by google.

Attackers are bulk scanning the internet for vulnerable systems and exploiting them.

Use the following risk analysis to determine your cause of action before patching:

Additional measures are:

(Met dank aan NCSC Advies)

The Security Hotline is scanning for systems that are unmitigated or have an ineffective mitigation and is sending out notifications to the operators of networks in which these systems are found. We focus on systems located or related to The Netherlands.

The number of vulnerable systems is decreasing Graph with unmitigated systems over time

Timeline

(To be translated)

Date Description
17-12-2019 Citrix reports a vulnerability in Citrix ADC and advices to implement mitigation.
9-1-2019 Researchers report attackers are actively searching for vulnerable systems.
11-1-2020 Exploit code is publicly available, e.g. the Project Zero Day India and Trusted Sec
13-1-2020 The Dutch Security Hotline has been activated
14-1-2020 First notifications have been sent out by the The Dutch Security Hotline
15-1-2020 Blog post with links to articles on how to establish whether a ADC is compromised
16-1-2020 The Dutch National Cyber Security Center, NCSC, reports mitigation measures prove unreliable and advices to consider to shut down Citrix ADC systems. The Dutch Security Hotline decides to temporarily stop scanning and reporting.
17-1-2020 The NCSC Het NCSC clarifies its 16-1 statement: “Shut down Citrix systems if possible or take additional measures”.
The Dutch Security Hotline continues its scanning and reporting activities.
19-1-2020 Patches avaiable for version 11.1 and 12.0. This is one day sooner then initially communicated. The date for which patches for version 12.1 and 13 are availbe has changed from 27-1 to 24-1. The date that patches are aviable for version 10 has been changed from 31-1 to 24-1.
24-1-2020 Citrix expect to have patches available for version 10, 12.1 and 13 of ADC and SD-WAN WANOP
24-1-2020 Citrix deploys the final patches for all versions. Also an Indicator of Compromise Scanning tool has been released to test possible exploitation