Come Get IT EXTRA - De Citrix ADC Exploit
Het was groot nieuws, de “Citrix Servers” waren gehackt of waren ineens makkelijk te hacken door kwaadwillenden. Na een waarschuwing van het Nationaal Cyber Security Centrum (NCSC) over een lek in de Citrix ADC’s (ook wel bekend als Netscalers) en het opvolgende advies deze volledig uit te zetten, inclusief alle remote verbindingen, stond Nederland vol met files en was dit nieuws dagenlang trending in de nieuwsbulletins en op sociale media.
Wij hebben gesproken met Martijn Moorman en Andor Klink van Avensus waarbij we terug kijken op dit recente voorval.
Wat was er nou precies aan de hand, hoe is Citrix hiermee omgegaan en wat was de rol van het NCSC en de media in dit verhaal?
We proberen in een half uur de nuances te scheiden van de waan van de dag door kernachtig terug te blikken met onze twee gasten.
Artikelen/bronnen ADC Exploit:
- Interview Fermin Cerna Ciso Citrix
- Aflevering Nieuwsuur met Jeroen van Rotterdam VP Citrix
- Citrix artikel over de exploit en de te nemen maatregelen
- Blog van Citrix over de forensic tool. (Om op de ADC te draaien en te detecteren of deze gecompromitteerd is)
- Link naar de daadwerkelijke forensic tool
- Cisa tool om van buiten te testen of je ADC of Gateway nog kwetsbaar is
- NCSC Advisories ADC vulnerabilities
Haal jij alles uit Citrix Application Delivery Controller?
Diverse bedrijven gebruiken tegenwoordig een Citrix Application Delivery Controller (ADC) – voorheen bekend als een Citrix NetScaler. In veel gevallen wordt een ADC gebruikt om het voor werknemers mogelijk te maken om op afstand veilig te kunnen werken. Maar dat is lang niet alles wat ermee mogelijk is, vertelt Martijn de Roos van SBC Solutions.
Een ADC is een appliance met geavanceerde load balancing en gateway functionaliteit. Met deze functionaliteit is het mogelijk om een applicatie veilig te ontsluiten. Denk hierbij bijvoorbeeld aan een webapplicatie, database, active directory en DNS servers. Verder is het mogelijk om van afstand in te loggen via een ICA-Proxy (XenApp / XenDesktop omgeving), RDP-Proxy of VPN sessie, aldus de Roos
“Bedrijven gebruiken vaak alleen maar een klein deel van het platform wat jammer is. Een ADC kan veel meer dan dat.”
Beveiliging
“Binnen de load balancer zitten weer allerlei toepassingen. Webservers praten regelmatig via poort 80, maar dit wil je niet naar buiten openzetten. Met een ADC kun je ervoor zorgen dat het verkeer eerst via poort 443 binnen komt en vervolgens door stuurt naar de webserver via poort 80. Zo is de verbinding vanaf buitenaf alsnog beveiligd via SSL”, noemt De Roos als voorbeeld.
Een Citrix ADC kan daarnaast ook helpen met het authentiseren van het account voordat het ‘aanklopt’ bij de website, weet De Roos. “Het is mogelijk om gebruik te maken van nfactor authenticatie waarbij een werknemer niet alleen moet inloggen met zijn gebruikersnaam en wachtwoord, maar ook moet voldoen aan bijvoorbeeld een certificaat wat op de computer aanwezig moet zijn. Zonder dat specifieke certificaat kan er niet worden ingelogd.”
Daarmee is te voorkomen dat kwaadwillende gebruikers vanaf een ander apparaat proberen in te loggen op het account van een werknemer.
Minder belasting servers
Naast beveiliging biedt een Citrix ADC ook de mogelijkheden om een webserver minder te belasten, door gebruiker te maken van SSL-Offloading. Het encrypten and decrypten van de verbinding kan worden afgevangen door de Citrix ADC. Een fysieke Citrix ADC maakt daarbij zelfs gebruik van een speciale chip die dit proces op zich neemt waardoor het systeem niet extra wordt belast.
Een Citrix ADC kan ook content cachen (tijdelijk opslaan in het geheugen) , waardoor er minder netwerkverkeer nodig is. De gebruiker krijgt sneller zijn content en de server wordt minder belast. Denk hierbij bijvoorbeeld aan een website.