Oppdatering om sårbarhet i Citrix-programvare
Oppdatering 20.01.2020
Citrix har sendt ut oppdatering til to av ADC-versionerne (11.1 og 12.0) som er omfattet av sårbarhetene beskrevet under.
For mer informasjon, se blogginnlegg fra Citrix:
-------
Citrix Systems er et amerikansk flernasjonalt selskap, som tilbyr fjernaksess, server- og desktopvirtualisering, nettverksløsninger og programvare. Disse løsningene er svært utbredt i virksomheter både i Norge og internasjonalt.
Kode som kan brukes for å utnytte sårbarheten er tilgjengelig på internett, noe som gjør det svært mye lettere å gjennomføre angrep. Sårbarheten kan utnyttes av avanserte aktører og kriminelle grupper, men også av personer som kun ønsker å se om de kan få tilgang.
For å unngå kompromittering gjennom Citrix-sårbarheten, bør virksomheter som kjører sårbare versjoner oppgradere til nyere versjon, eller begrense tilganger i brannmuren til det som er strengt nødvendig frem til en fullverdig sikkerhetsoppdatering foreligger. For andre versjoner bør man følge de foreløpige sikkerhetstiltakene som Citrix har publisert på sine nettsider.
Både tyske og nederlandske tjenester innenfor digital sikkerhet har publisert varsler om sårbarheten:
- Tyskland: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Citrix_Schwachstelle_160120.html
- Nederland: https://www.ncsc.nl/actueel/nieuws/2020/januari/16/door-citrix-geadviseerde-mitigerende-maatregelen-niet-altijd-effectief
Teknisk informasjon
Forebyggende tiltak som Citrix har beskrevet tidligere fungerer ikke som tilsiktet for Citrix ADC versjon 12.1 bygg før 51.16, 51.19 og 50.31. Virksomheter som benytter disse versjonene av Citrix ADC anbefales å oppdatere til en versjon som støtter disse tiltakene og at de implementeres.
Citrix har oppdatert beskrivelsen over sårbare produkter til å inkludere alle støttede delversjoner av Citrix SD-WAN WANOP-modeller 4000, 4100, 5000 og 5100. Dette utvider listen over sårbare enheter til alle støttede delversjoner av følgende:
- Citrix ADC og Citrix Gateway versjon 13.0
- Citrix ADC og NetScaler Gateway versjon 12.1
- Citrix ADC og NetScaler Gateway versjon 12.0
- Citrix ADC og NetScaler Gateway versjon 11.1
- Citrix NetScaler ADC og NetScaler Gateway versjon 10.5
- Citrix SD-WAN WANOP-modeller 4000, 4100, 5000, og 5100
Det må antas at enheten er kompromittert dersom implementasjon av forebyggende tiltak ble gjort etter fredag 10. januar. Det er i noen grad mulig å bekrefte eller avkrefte kompromittering ved å gjøre tekniske undersøkelser.
Dersom en virksomhet ikke oppdaterer, men blir stående på en versjon hvor forebyggende tiltak ikke har tiltenkt effekt, eller ikke implementerer disse, er det høy sannsynlighet for at enheten blir kompromittert om den ikke allerede er kompromittert.
Følgende IP-adresser har blitt benyttet til å laste ned ondsinnet kode til kompromitterte Citrix-enheter:
- 95.179.163[.]186
- 62.113.112[.]33
- 185.178.45[.]221
- 217.12.221[.]12
- 61.218.225[.]74