Mitte Dezember 2019 wurde eine Sicherheitslücke in den Produkten „Citrix Application Delivery Controller“ (ADC, früher „NetScaler ADC“ genannt) und „Citrix Gateway“ (früher „Netscaler Gateway“ genannt) entdeckt. Die Lücke betrifft alle noch unterstützten Versionen dieser Produkte.
Die verwundbaren Produkte werden als Load Balancer zur Verteilung von Netzwerkpaketen resp. als zentrale Anmeldeplattform für eine Vielzahl von Diensten verwendet.
Die Sicherheitslücke ermöglicht einem Angreifer die Ausführung beliebiger Programme auf den verwundbaren Citrix-Geräten. Dadurch werden nicht nur diese Geräte in ihrer Funktion zur Wahrung der Unternehmenssicherheit beeinträchtigt, sondern die so missbräuchlich verwendeten Geräte können als Ausgangspunkt weiterer Angriffe im internen Firmennetz verwendet werden. Außerdem kann die Konfiguration der Citrix-Geräte ausgelesen werden und damit scheinbar Nutzerkennungen erbeutet werden.
Eine einspielbare Lösung („Patch“) besteht zur Zeit noch nicht, Citrix-Kunden können sich über ihren Portalzugang unter https://support.citrix.com/user/alerts informieren lassen, sobald ein Update zur Verfügung steht.
Seit neustem suchen Angreifer aus dem Internet aktiv und automatisiert nach verwundbaren Geräten und nutzen die gefundenen Lücken aktiv aus!
Citrix stellt unter unter https://support.citrix.com/article/CTX267679 eine Anleitung zur Umkonfiguration zur Verfügung, um die Angriffe abzuwehren, bis ein Patch zur Verfügung steht. Dadurch werden allerdings auch einige legitime Anfragen eingeschränkt. Inwiefern diese Umkonfiguration daher angewendet werden kann, muss individuell abgewogen werden. Idealerweise sollte der Zugang zu den verwundbaren Geräten vollständig unterbunden werden, insofern die Betriebsfähigkeit darunter nicht signifikant leidet.
Nach Beschränkung der Verwundbarkeit sollte untersucht werden, ob die eigenen Geräte betroffen waren, beispielsweise anhand der Vorgehensweise wie im Artikel „Netscaler Remote Code Execution Forensics“ unter https://www.trustedsec.com/blog/netscaler-remote-code-execution-forensics/ beschrieben.
Falls ja, sollte eine bekannt gute Konfiguration in das Gerät zurückgespielt werden (und die Umkonfiguration wiederholt werden!) um sicherzustellen, dass keine Änderungen vorgenommen wurden. Außerdem sollten die im Gerät konfigurierten Zugangskennungen mit neuem Passwort versehen werden, da diese ausgespäht worden sein könnten.
Dieser Vorfall zeigt insbesondere – und wieder einmal – , dass es für die IT-Sicherheit im Unternehmen unabdingbar ist, sich regelmäßig über aktive Sicherheitslücken zu informieren und zeitnah zu handeln, Backups auch von Konfigurationen bereitzuhalten und diese zurückspielen zu können, und für alle Systeme Wartungsverträge abzuschließen, um gefundene Lücken durch den Hersteller schließen zu lassen.
Bonus Information: am gestrigen 14.01.2020 endete der „extended support“ von Microsoft für Windows 7, Windows Server 2008 (incl. R2) und WSUS 3.0 SP2. Für diese Systeme gibt es nun keine Sicherheitsupdates mehr!
Torge Schmidt
23. Januar 2020 @ 9:20
Nachtrag 23.01.2020:
Sollte das eigene System bei Tests als nicht verwundbar erscheinen, könnte es daran liegen, dass „freundliche“ Hacker die Lücke gepatched haben… und eine Backdoor installiert haben, um die Lücke später unbeobachtet auszunutzen. Quelle: https://www.fireeye.com/blog/threat-research/2020/01/vigilante-deploying-mitigation-for-citrix-netscaler-vulnerability-while-maintaining-backdoor.html
Citrix hat mittlerweile Patches für ADC 11.1 und 12.0 veröffentlicht. Für andere Versionen sollen die Patches am 24.01.2020 erscheinen. Quelle: https://www.citrix.com/blogs/2020/01/19/vulnerability-update-first-permanent-fixes-available-timeline-accelerated/
Torge Schmidt
17. Januar 2020 @ 14:31
Nachtrag 17.01.2020:
Die im Artikel verlinkte Umkonfiguration funktioniert NICHT für ADC Systeme der Version 12.1 älter als build 51.16/51.19 und 50.31!
Darüber hinaus ist das Produkt „Citrix SD-WAN WANOP“ ebenfalls betroffen!
Quelle: https://heise.de/-4640456 und Verlinkungen