Citrix rolt eerste patches uit voor kritieke bug

Citrix heeft de eerste patches uitgerold voor een kritieke kwetsbaarheid in zijn serversoftware. Voor het einde van de maand moet voor alle getroffen versies een patch beschikbaar zijn.

De kritieke bug (CVE-2019-19781) heeft een ernstgraad van 9,8 op 10, en treft Citrix Application Delivery Controller (ADC) en Citrix Gateway (beide voorheen bekend onder de NetScaler-merknaam), alsook Citrix SD-WAN WANOP.

Het lek werd vlak voor Kerstmis publiek gemaakt door onderzoekers van Positive Technologies, die schatten dat de netwerken van zo’n 80.000 bedrijven in 158 landen kwetsbaar zijn. In België zou het om 402 kwetsbare servers gaan, in Nederland zijn het er 713.

Actief misbruik

Citrix deelde snel enkele mitigerende stappen om het risico te beperken, maar die bleken niet voor elke versie even effectief. Bovendien is het lek relatief eenvoudig te misbruiken, waardoor de voorbije weken wereldwijd het aantal aanvallen op kwetsbare servers snel toenam, terwijl patches nog niet voorhanden waren.

In één specifiek geval, dat door FireEye werd ontdekt, is er zelfs sprake van een hacker die het op zich neemt om de kwetsbare servers te patchen, maar tegelijk een backdoor voor zichzelf inbouwt.

Patches

Citrix heeft ondertussen een aangepaste planning gedeeld wanneer de patches voor ADC en Gateway beschikbaar zullen zijn. De eerste fixes voor versies 12 en 11.1 zijn nu beschikbaar. Patches voor versies 12.1, 10.5 en 13 volgen in principe op 24 januari. Op die dag worden ook de patches voor SD-WAN WANOP uitgerold.

“Deze fixes zijn ook van toepassing op Citrix ADC en Citrix Gateway Virtual Appliances (VPX) gehost op ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP of op een Citrix ADC Service DElivery Appliance (SDX)”, benadrukt Citrix. SVM of SDX hoeven niet te worden bijgewerkt.

CItrix adviseert gebruikers om hun kwetsbare systemen zo snel mogelijk te updaten. Het heeft ook een tool beschikbaar gemaakt waarmee IT-beheerders kunnen controleren of de patches correct zijn toegepast.

Lees ook: Citrix-bug veroorzaakt files in Nederland, België nauwelijks getroffen. In Nederland nam de overheid de noodmaatregel om zijn Citrix-servers tijdelijk uit te zetten, tot patches zijn geïmplementeerd. Dat leidde tot ‘Citrix-files’ op de baan, omdat heel wat ambtenaren niet van thuis uit konden werken.