Kwetsbaarheid in Netscalers Citrix
Citrix heeft twee weken geleden een nieuwe kwetsbaarheid in hun Netscalers bekendgemaakt. De kwetbaarheid werd gemeld door Mathias Morbitzer en Dennis Titze van het Fraunhofer Institute for Applied and Integrated Security.
Misbruik van deze kwetsbaarheid kan gevolgen hebben voor de veiligheid van de Netscaler door de mogelijkheid tot het uitvoeren van kwaadaardige code op de Netscaler, waarmee een aanvaller mogelijk complete controle kan krijgen over de Netscaler.
CVE-2018-7218 (Critical): Vulnerability in Citrix NetScaler Application Delivery Controller and NetScaler Gateway leading to arbitrary code execution and host compromise
Citrix heeft vooralsnog nagelaten om de Security Bulletins te updaten met de nieuwe kwetsbaarheid:
Sinds afgelopen week staat de kwetsbaarheid ook op de CVE database onder nummer CVE-2018-7218
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7218
AppFirewall
De bron van de kwetsbaarheid ligt in AppFirewall functionaliteit van de Netscalers. Hierdoor zijn ook enkel Netscalers waarbij de AppFirewall functionaliteit gebruikt wordt geraakt door deze kwetsbaarheid. Omdat de AppFirewall een Enterprise feature is, zijn ook enkel Netscaler met een Enterprise of Platinum licentie kwetsbaar.
De AppFirewall is de ingebouwde web application firewall van de Netscaler. Net als een IPS en Next-gen Firewall werkt de Application Firewall op laag 3 tot en met laag 7 van het OSI model.
De AppFirewall is een uitgebreide ICSA-gecertificeerde beveiligingsoplossing voor webapplicaties, die bekende en onbekende aanvallen tegen webapplicaties en webservices blokkeert. NetScaler AppFirewall heeft een hybride securitymodel. Al het bidirectioneel verkeer, ook versleutelde SSL communicatie, wordt geanalyseerd. Op deze manier kunnen de meest uiteenlopende gevaren worden ondervangen zonder dat er iets moet worden veranderd aan de eigenlijke applicatie.
Het is natuurlijk vrij ironisch dat de Application Firewall nu juist datgene is dat een beveiligingsrisico vormt.
Mogelijke oplossingen
Citrix draagt twee mogelijke oplossingen voor de kwetsbaarheid. Als eerste oplossing heeft Citrix inmiddels nieuwe builds uitgebracht voor de Netscalers:
· Citrix NetScaler ADC and NetScaler Gateway version 12.0 Build 57.24
· Citrix NetScaler ADC and NetScaler Gateway version 11.1 Build 58.13
· Citrix NetScaler ADC and NetScaler Gateway version 11.0 Build 71.24
· Citrix NetScaler ADC and NetScaler Gateway version 10.5 Build 68.7
Versies ouder dan 10.5 zullen niet meer worden voorzien van een update. Het advies is om deze versies zo snel mogelijk te updaten naar een nieuwere versie.
De genoemde kwetsbaarheid zit schijnbaar in de wijze waarop de Appfirewall XML verkeer verwerkt. Citrix geeft namelijk als tweede (tijdelijke) oplossing aan om de AppFirewall functionaliteit aan te passen om enkel HTML verkeer te verwerken.
De XML parsing kan via de CLI aangepast worden met het commando set appfw:
set appfw profile PROFIELNAAM -type HTML
save ns config
Uiteraard heeft het uitschakelen van de application firewall voor XML verkeer als gevolg dat het XML verkeer niet meer door de Netscaler gefilterd wordt. Dit an sich kan mogelijk ook een beveiligingsrisico vormen.
Meer informatie over de kwetsbaarheid staat op de CVE database en is te vinden in het CTX234869 artikel van Citrix:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7218