Nieuw beveiligingsprobleem Citrix NetScaler

In oktober verspreide Citrix het verontrustende bericht over de kwetsbaarheid CTX227928 in verschillende versies en builds van de NetScaler ADC’s. Hoewel Citrix adequaat reageerde met een update (zie onze blog ‘Beveiligingsprobleem NetScaler: actie vereist!’) is nu helaas een nieuwe kwetsbaarheid aan het licht gekomen.

Getroffen versies
Citrix maakt in het CTX230238 artikel kenbaar dat de NetScaler ADC’s met de volgende versies een kwetsbaarheid bevatten, waardoor een aanvaller het TLS verkeer kan ontsleutelen en zo verkeer tussen de gebruiker en de NetScaler kan inzien:

  • Citrix NetScaler ADC en NetScaler Gateway versie 12.0 lager dan build 53.22
  • Citrix NetScaler ADC en NetScaler Gateway versie 11.1 lager dan build 56.19
  • Citrix NetScaler ADC en NetScaler Gateway versie 11.0 lager dan build 71.22
  • Citrix NetScaler ADC en NetScaler Gateway versie 10.5 lager dan build 67.13
     

Ook producten van Cisco en F5 zijn kwetsbaar!
Niet alleen Citrix apparaten zijn geraakt door deze kwetsbaarheid, ook Cisco en F5 zijn vatbaar met hun producten en hebben inmiddels firmware uitgebracht om de kwetsbaarheid te verhelpen.

Voor deze kwetsbaarheid is ook een CVE aangemaakt onder nummer CVE-2017-17382. Daarin is, zoals gangbaar, meer technische informatie te vinden over de kwetsbaarheid. Daarnaast is daar te lezen dat er momenteel geen bekende exploits zijn die deze kwetsbaarheid actief gebruiken.
 

Uw NetScaler vatbaar?
Het is mogelijk om te controleren of uw NetScaler vatbaar is door te achterhalen of het versie- en buildnummer voorkomt op de lijst met vatbare versies en builds in het CTX artikel.

U kunt uw versienummer handmatig achterhalen via de CLI of via de GUI:

Via CLI

Via GUI

 

Automatische controle op kwetsbaarheden CTX227928 (oktober 2017) en CTX230238 (december 2017) via PowerShell
Om eenvoudig te controleren of uw NetScaler beveiligingsproblemen kent, zoals kenbaar gemaakt in oktober en december, kunt u ook onderstaande door ICT-Partners opgestelde PowerShell-script gebruiken.
Het script vraagt door middel van de REST API het versie- en buildnummer van uw NetScaler op en vergelijkt dit met de versie- en buildnummers in de artikelen CTX227928 en CTX230238.

De syntax is als volgt:
.\nscheckversion.ps1 -nsip "10.2.85.210" -adminaccount nsroot -adminpassword nsroot

In dit voorbeeld wordt de NetScaler met NSIP 10.2.85.210 gecontroleerd. Er wordt ingelogd met het account nsroot en wachtwoord nsroot.

Uiteraard is het met alle scripts zo, gebruik is voor eigen risico. Hoewel het script geen aanpassingen doet in de NetScaler is het altijd aan te bevelen om in te loggen met een account met enkel leesrechten.

Het PowerShell-script is te downloaden via GitHub:
https://github.com/eltjovangulik/PowerShell/blob/master/nscheckversion/nscheckversion.ps1
 

Mijn NetScaler is kwetsbaar, wat nu?!
Simpel, upgraden! Citrix heeft voor alle NetScalers tot en met versie 10.5e firmware updates uitgebracht, welke deze kwetsbaarheid verhelpen.

Bij het gebruik van een cipher suite die geconfigureerd is met PFS (Perfect Forward Secrecy) is de kwetsbaarheid niet relevant en niet uit te buiten. PFS is een cryptografische eigenschap, die zorgt dat de sleutels die gebruikt worden om de communicatie te beveiligen niet hergebruikt kunnen worden. Zowel het Difie-Hellman algoritme als ECDHE (Elliptic-curve Diffie–Hellman) ondersteunen PFS.
 

Over de auteur

Meer informatie?

Onze experts helpen u graag verder

Met ruim 80 consultants zijn wij dagelijks bezig met het oplossen van complexe vraagstukken rondom digitale strategie, de werkplek en het datacenter.

Deel dit artikel