Mitte Dezember 2019 wurde eine Sicherheitslücke in den Produkten „Citrix Application Delivery Controller“ (ADC, früher „NetScaler ADC“ genannt) und „Citrix Gateway“ (früher „Netscaler Gateway“ genannt) entdeckt. Die Lücke betrifft alle noch unterstützten Versionen dieser Produkte.

Die verwundbaren Produkte werden als Load Balancer zur Verteilung von Netzwerkpaketen resp. als zentrale Anmeldeplattform für eine Vielzahl von Diensten verwendet.

Die Sicherheitslücke ermöglicht einem Angreifer die Ausführung beliebiger Programme auf den verwundbaren Citrix-Geräten. Dadurch werden nicht nur diese Geräte in ihrer Funktion zur Wahrung der Unternehmenssicherheit beeinträchtigt, sondern die so missbräuchlich verwendeten Geräte können als Ausgangspunkt weiterer Angriffe im internen Firmennetz verwendet werden. Außerdem kann die Konfiguration der Citrix-Geräte ausgelesen werden und damit scheinbar Nutzerkennungen erbeutet werden.

Eine einspielbare Lösung („Patch“) besteht zur Zeit noch nicht, Citrix-Kunden können sich über ihren Portalzugang unter https://support.citrix.com/user/alerts informieren lassen, sobald ein Update zur Verfügung steht.

Seit neustem suchen Angreifer aus dem Internet aktiv und automatisiert nach verwundbaren Geräten und nutzen die gefundenen Lücken aktiv aus!

Citrix stellt unter unter https://support.citrix.com/article/CTX267679 eine Anleitung zur Umkonfiguration zur Verfügung, um die Angriffe abzuwehren, bis ein Patch zur Verfügung steht. Dadurch werden allerdings auch einige legitime Anfragen eingeschränkt. Inwiefern diese Umkonfiguration daher angewendet werden kann, muss individuell abgewogen werden. Idealerweise sollte der Zugang zu den verwundbaren Geräten vollständig unterbunden werden, insofern die Betriebsfähigkeit darunter nicht signifikant leidet.

Nach Beschränkung der Verwundbarkeit sollte untersucht werden, ob die eigenen Geräte betroffen waren, beispielsweise anhand der Vorgehensweise wie im Artikel „Netscaler Remote Code Execution Forensics“ unter https://www.trustedsec.com/blog/netscaler-remote-code-execution-forensics/ beschrieben.

Falls ja, sollte eine bekannt gute Konfiguration in das Gerät zurückgespielt werden (und die Umkonfiguration wiederholt werden!) um sicherzustellen, dass keine Änderungen vorgenommen wurden. Außerdem sollten die im Gerät konfigurierten Zugangskennungen mit neuem Passwort versehen werden, da diese ausgespäht worden sein könnten.

Dieser Vorfall zeigt insbesondere – und wieder einmal – , dass es für die IT-Sicherheit im Unternehmen unabdingbar ist, sich regelmäßig über aktive Sicherheitslücken zu informieren und zeitnah zu handeln, Backups auch von Konfigurationen bereitzuhalten und diese zurückspielen zu können, und für alle Systeme Wartungsverträge abzuschließen, um gefundene Lücken durch den Hersteller schließen zu lassen.

Bonus Information: am gestrigen 14.01.2020 endete der „extended support“ von Microsoft für Windows 7, Windows Server 2008 (incl. R2) und WSUS 3.0 SP2. Für diese Systeme gibt es nun keine Sicherheitsupdates mehr!