Handlungsempfehlung zur Citrix-Schwachstelle CVE 2019-19781
Für eine vollständige und nachhaltige Behebung des Problems empfehlen unsere Security-Experten die folgende Vorgehensweise.
Nach dem ersten Workaround für die Schwachstelle CVE 2019-19781 in Citrix ADC und Citrix SD-WAN WANOP stellt Citrix heute (24.01.2020) abschließend permanent fixes (https://www.citrix.com/blogs/2020/01/19/vulnerability-update-first-permanent-fixes-available-timeline-accelerated) bereit.
Für eine vollständige und nachhaltige Behebung des Problems empfehlen unsere Security-Experten allerdings dringend die folgende Vorgehensweise:
- Parallele Bereitstellung neuer Citrix ADCs mit der Version 13.0.47.x (bei physikalischen Systemen wird hierzu der Hochverfügbarkeitsverbund aufgelöst)
- Export der aktuellen Konfiguration und anschließende Revision (Prüfung, ob Konfigurationsanpassungen bei Ausnutzung der Schwachstelle durchgeführt wurden)
- Import der revisionierten Konfiguration, Anpassung von Richtlinien bzgl. der Version 13 und Absicherung des Citrix ADC nach K-iS Best Practice
- Zurückrufen der SSL-/TLS-Zertifikate und neue Bereitstellung derselben, da die privaten Schlüssel ausgelesen werden konnten.
- Änderung aller Kennwörter für folgende Benutzer
- Fall 1: Es haben sich ausschließlich Benutzer über das Citrix Gateway verbunden.
- Lokale Benutzerkonten des Citrix ADC
- Vom Citrix ADC verwendete Dienstkonten
- Konten der Benutzer, die sich mittels Citrix Gateway verbinden können
- Fall 2: Es haben sich auch Administratoren über das Citrix Gateway verbunden.
- Alle Kennwörter müssen geändert werden.
- Fall 1: Es haben sich ausschließlich Benutzer über das Citrix Gateway verbunden.
Bitte kontaktieren Sie Ihren K-iS Systemhaus-Ansprechpartner und vereinbaren Sie einen zeitnahen Termin. Der Aufwand für die Punkte 1-3 beträgt ca. 1-2 MT pro Citrix ADC(-Pärchen). Der Aufwand für die Punkte 4 und 5 muss im Einzelfall geklärt werden. Sollten Sie für diese Arbeiten ein schriftliches Angebot benötigen, wenden Sie sich bitte per E-Mail an vertrieb@k-is.com oder support@k-is.com.
Darüber hinaus weisen wir Sie darauf hin, dass durch das Kompromittieren der Citrix ADCs auch ein Zugriff auf andere Systeme möglich gewesen sein kann. Sollten Sie eine erweiterte Prüfung Ihrer IT-Infrastruktur wünschen, sprechen Sie uns an.