Zeker 700 Nederlandse endpoints kwetsbaar door Citrix-lek

13 januari 2020

Honderden Nederlandse Citrix-servers zijn kwetsbaar door een lek in de Application Delivery Controller en het Gateway-product van de leverancier. Hoewel het lek al bijna een maand bekend is, is er nog geen patch beschikbaar. Onderzoekers van Bad Packets vonden na een scan wereldwijd meer dan 4500 kwetsbare endpoints van netwerken, waarvan 713 in Nederland.

Citrix maakte 17 december bekend dat er een lek zit in zijn Application Delivery Controller (ook bekend als Netscaler ADC) and zijn Gateway (ook bekend als NetScaler Gateway). Dat deed het bedrijf onder de vermelding van CVE-code 2019-19781.

Score van 9,8
 
De bug is gevonden door beveiligingsonderzoeker Mikhail Klyuchnikov van Positive Technologies. Door deze kwetsbaarheid kunnen niet-geverifieerde externe aanvallers opdrachten uitvoeren op een server. Citrix gaf nog geen beveiligingsupdate vrij, maar bracht wel een aantal oplossingen uit die de mate van kwetsbaarheid moeten beperken. Volgens experts is het hoe dan ook een gevaarlijk lek. De National Vulnerability Database van het NIST (National Institute of Standards and Technology), wat valt onder de Amerikaanse overheid, geeft het lek een score van 9,8 op een schaal van 1 tot 10.

Vorige week liet beveiligingsonderzoeker Kevin Beaumont op Twitter weten dat aanvallers actief op zoek zijn naar de kwetsbare producten. Inmiddels is er ook proof-of-concept code publiekelijk vrijgegeven. Door deze code te gebruiken kunnen aanvallers een Citrix-apparaat overnemen en zich toegang verschaffen tot het interne netwerk van een organisatie.

Onderzoekers van Bad Packets hebben zo’n 60.000 Citrix-endpoints gescand. Zij zeggen dat meer dan 25.000 daarvan risico lopen door de geopenbaarde kwetsbaarheid, waarvoor nu dus kant-en-klare misbruikcode beschikbaar is. Het merendeel van deze producten staan in de Verenigde Staten: bijna 10.000 stuks.