Nieuw beveiligingsprobleem NetScaler

N

In mijn vorige blog (https://www.netwerkhelden.nl/cms/2017/11/08/netscaler/) berichte ik over de kwetsbaarheid CTX227928 in verschillende versies en builds van de Netscaler ADC’s. Nu zijn we amper een maand verder en er is een nieuwe kwetsbaarheid aan het licht gekomen.

Citrix maakt in het CTX230238 artikel kenbaar dat de Netscaler ADC’s met de volgende versies een kwetsbaarheid bevatten waardoor een aanvaller het TLS verkeer kan ontsleutelen en zo kan verkeer tussen de gebruiker en de Netscaler kan inzien:

  • Citrix NetScaler ADC en NetScaler Gateway versie 12.0 lager dan build 53.22
  • Citrix NetScaler ADC en NetScaler Gateway versie 11.1 lager dan build 56.19
  • Citrix NetScaler ADC en NetScaler Gateway versie 11.0 lager dan build 71.22
  • Citrix NetScaler ADC en NetScaler Gateway versie 10.5 lager dan build 67.13

Niet alleen Citrix apparaten zijn geraakt door deze kwetsbaarheid, ook Cisco en F5 zijn vatbaar met hun producten en hebben inmiddels firmware uitgebracht om de kwetsbaarheid te verhelpen.

Voor deze kwetsbaarheid is ook een CVE aangemaakt onder nummer CVE-2017-17382. Daarin is, zoals gangbaar, meer technische informatie te vinden over de kwetsbaarheid. Daarnaast is daar te lezen dat er momenteel geen bekende exploits zijn die deze kwetsbaarheid actief gebruiken.

Hoe kan in zien of mijn Netscaler vatbaar is?

Zoals ik ook in mijn vorige blog heb aangegeven is het mogelijk om te controleren of de Netscaler vatbaar is door het versie en buildnumber te controleren tegen de lijst met vatbare versies en build in het CTX artikel.

Via de CLI:

en via de GUI:

 

Powershell

Om de controle op deze en de vorige kwetsbaarheid om een simpele manier te controleren heb ik een PowerShell script gemaakt.

Met dit PowerShell script kan je via powershell controleren of de Netscaler vatbaar is. Het script vraagt hiervoor door middel van de REST API het versie en buildnummer van de Netscaler op en vergelijkt dit met de versie en buildnummers in CTX227928 en CTX230238.

De syntax is alsvolgt:

In dit voorbeeld wordt de Netscaler met NSIP 10.2.85.210 gecontroleerd. Er wordt ingelogd met het account nsroot en wachtwoord eveneens nsroot.

Uiteraard is het met alle scripts zo, gebruik is voor eigen risico. Hoewel het script geen aanpassingen doet in de Netscaler is het altijd aan te bevelen om in te loggen met een account met enkel leesrechten op de Netscaler.

Het script is gebaseerd op het basis script van Ryan Butler.

Het PowerShell script is te downloaden via GitHub:

https://github.com/eltjovangulik/PowerShell/blob/master/nscheckversion/nscheckversion.ps1

Als mijn Netscaler kwetsbaar is wat kan ik dan nu doen?

Simpel, upgraden! Citrix heeft voor alle versies van hun Netscalers tot en met versie 10.5e firmware updates uitgebracht welke deze kwetsbaarheid verhelpen.

Bij het gebruik van een cipher suite die geconfigureerd is met PFS (Perfect Forward Secrecy) is de kwetsbaarheid niet relevant en niet uit te buiten.

PFS is een cryptografische eigenschap die zorgt dat de sleutels die gebruikt worden om de communicatie te beveiligen niet hergebruikt kunnen worden. Zowel het Difie-Hellman algoritme als ECDHE (Elliptic-curve Diffie–Hellman) ondersteunen PFS.

Hoe erg is dit?

In een volgende blog zal ik wat dieper ingaan op de kwetsbaarheid, uitleggen wat nu precies de impact van deze kwetsbaarheid is en hoe je deze, naast het upgraden van de firmware van je Netscalers, kan voorkomen.

Over de auteur

Eltjo van Gulik

Eltjo is een enthousiaste en gedreven technisch consultant met ruim 18 jaar ervaring in de IT met een sterke focus op server- en applicatie virtualisatie producten van onder andere Microsoft (RDS, App-v, etc) en Citrix (XenDesktop, XenApp) en het installeren, configureren en beheren van applicaties binnen deze omgevingen.

Door Eltjo van Gulik

Over

Eltjo van Gulik

Eltjo is een enthousiaste en gedreven technisch consultant met ruim 18 jaar ervaring in de IT met een sterke focus op server- en applicatie virtualisatie producten van onder andere Microsoft (RDS, App-v, etc) en Citrix (XenDesktop, XenApp) en het installeren, configureren en beheren van applicaties binnen deze omgevingen.

Contact