Onlangs heeft Citrix meerdere versies van haar NetScaler ADC en NetScaler Gateway software van haar downloadsite verwijderd. Reden: beveiligingsproblemen, waarbij mogelijke aanvallers toegang zouden kunnen krijgen tot de management interface van de NetScaler.
Naar aanleiding van het beveiligingsprobleem adviseert Citrix om alle NetScalers op zeer korte termijn te updaten.
Mogelijke impact
Zoals gebruikelijk bij een beveiligingsprobleem is er voor de kwetsbaarheid een zogenaamde CVE aangemaakt onder nummer CVE-2017-14602. Zo’n CVE staat voor ‘Common Vulnerabilities and Exposures’ en is een databank waarin een gestandaardiseerde beschrijving van de kwetsbaarheid en de mogelijke impact daarvan beschreven wordt.
De CVE leert ons dat wanneer de kwetsbaarheid uitgebuit wordt een aanvaller de authenticatie van de NetScaler kan omzeilen en zodoende zonder geldige gebruikersnaam en wachtwoord toegang kan krijgen tot de configuratie van NetScaler. Hiermee kan een aanvaller ongemerkt de configuratie van de NetScaler inzien en wijzigen, waardoor de aanvaller zich potentieel toegang kan verschaffen tot de rest van het netwerk.
Nagenoeg alle courante versies van de NetScaler ADC en NetScaler Gateway zijn vatbaar voor de eerdergenoemde kwetsbaarheid:
- Citrix NetScaler ADC en NetScaler Gateway versie 12.0 lager dan build 53.13
Citrix NetScaler ADC en NetScaler Gateway versie 11.1 lager dan build 55.13
Citrix NetScaler ADC en NetScaler Gateway versie 11.0 lager dan build 70.16
Citrix NetScaler ADC en NetScaler Gateway versie 10.5 lager dan build 66.9
Citrix NetScaler ADC en NetScaler Gateway versie 10.5e lager dan build 60.7010.e
Citrix NetScaler ADC en NetScaler Gateway versie 10.1 lager dan build 135.18
Meer info hierover:
https://nvd.nist.gov/vuln/detail/CVE-2017-14602
https://support.citrix.com/article/CTX227928
De oplossing
Inmiddels biedt Citrix revised builds ter download aan voor klanten met een actieve licentie voor hun NetScaler:
https://www.citrix.com/downloads/netscaler-adc/
https://www.citrix.com/downloads/netscaler-gateway/
In verband met het beveiligingsrisico is het aan te raden om een NetScaler zo spoedig mogelijk van deze update te voorzien.
Ervaring leert dat deze met een minimale downtime van de omgeving uitgevoerd kan worden. In het geval van omgevingen met een High Availability pair met twee NetScalers is het zelfs mogelijk om de firmware zonder noemenswaardige downtime uit te voeren.
Wel raden we aan om alvorens de firmware up te daten een back-up te maken van de configuratie van de NetScaler, zodat deze in geval van problemen teruggelezen kan worden. Voor virtuele appliances kan daarnaast eventueel een snapshot gemaakt worden van de NetScaler.
Wanneer er customization gedaan is op de NetScaler dient deze altijd veilig gesteld en verwijderd te worden van de NetScaler voordat de firmware upgrade wordt uitgevoerd.
Extra advies: Reguleer ook de toegang tot de management interfaces
Naast het updaten van de software van de NetScalers is het vanuit beveiligingsoogpunt van belang dat de toegang tot de management interfaces van de NetScaler gereguleerd wordt. Dit kan worden bewerkstelligd door de management interface in een management VLAN te plaatsen of door toegang te beperken door middel van Access Control Lists.
In het onderstaande voorbeeld zorgen we bijvoorbeeld dat managementtoegang enkel mogelijk is van de apparaten in de IP-adresreeks 10.0.0.100 tot en met 10.0.0.200, waarbij het NSIP-adres van de NetScaler 10.2.0.10 is.
Naast het bovengenoemde advies om de toegang tot de management interface te reguleren, is het aan te bevelen om deze alleen voor de veilige protocollen, zoals HTTPS en SSH, toegankelijk te maken, zodat afluisteren van het verkeer naar de management interface niet mogelijk is. Verder dient het beheer afgeschermd te worden, zodat beheer enkel mogelijk is op de management interface en niet op de overige interfaces zoals het subnet adres of de virtual IP-adressen in het DMZ.
