Bij grote kwetsbaarheden, dienen vaak snelle en heftige maatregelen genomen te worden. Dat bleek eens te meer toen er een bijzondere kwetsbaarheid optrad op de Citrix Netscaler afgelopen december. In reactie waren op advies van ons NCSC veel Netscalers gepatched en zelfs van het netwerk afgehaald. Nu blijkt dat een flink aantal Netscalers op de een of andere wijze toch of te laat of pas na compromittering zijn gepatched en daarna niet vervangen zijn (zie: https://tweakers.net/nieuws/169158/zeker-39-nederlandse-servers-zijn-geinfecteerd-via-oud-citrix-lek-ondanks-patch.html)
Wij hebben bij onderzoek naar de situatie bij onze klanten een aantal maal een gecompromitteerde Netscaler aangetroffen en deze organisaties geadviseerd een geheel nieuwe image uit te rollen. Om op die manier er zeker van te zijn dat er geen backdoors overbleven natuurlijk. Nu blijken er toch nogal wat gecompromitteerde Netscalers te zijn. Zeker in deze tijd waarin we veelal thuis werken, is een secure thuiswerk oplossing een must.
Wij raden iedereen daarom aan spoedig te (laten) onderzoeken wat de status is van hun Netscaler en om die bij twijfel meteen met een geheel nieuw image (bij voorkeur op de nieuwe VM) opnieuw op te bouwen. Vanzelfsprekend zijn wij beschikbaar om daarbij te ondersteunen.
