Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781

[English]Im Citrix ADC (Application Delivery Controller, früher Netscaler) gibt es eine ungepatchte Schwachstelle CVE-2019-19781. Seit einigen Tagen liegen Proof of Concept (PoC) Exploits vor, um die Schwachstelle auszunutzen – und Honeypots werden bereits angegriffen. Erste Nutzer berichten auch schon von Einbrüchen in Netzwerke zum Wochenende. Administratoren, die für Citrix ADC verantwortlich sind, müssen handeln. Ergänzung: Erkenntnisse von FireEye hinzugefügt.


Anzeige

Schwachstelle CVE-2019-19781 in Citrix ADC

Die Schwachstelle CVE-2019-19781 Vulnerability in Citrix Application Delivery Controller and Citrix Gateway leading to arbitrary code execution existiert im Citrix Application Delivery Controller (NetScaler ADC) und im Citrix Gateway (NetScaler Gateway).

Citrix (NetScaler) ADC ist ein Load Balancer und Überwachungs-System. Das Unified Gateway ermöglicht den Remote-Zugriff auf interne Anwendungen. Dies kann sowohl Desktopanwendungen als auch Intranet- oder Webanwendungen umfassen.

Die als kritisch eingestufte Schwachstelle könnte einem lokalen, nicht priviligierten Angreifer eine ungewollte Code-Ausführung ermöglichen. Mikhail Klyuchnikov, Sicherheit-Experte bei Positive Technologies, entdeckte diese kritische Schwachstelle.

Breit im Einsatz

Der Citrix ADC/NetScaler ist (nach einer Rückmeldung eines Spezialisten vom Wochenende an mich) bei mindestens 80.000 Enterprise/Regierungskunden im Einsatz. Alle Unternehmen die auf Citrix XenApp/XenDesktop zur Virtualisierung ihrer Anwendungen setzen, haben in der Regel auch einen NetScaler im Einsatz.

Ich hatte am 24. Dezember 2019 im Artikel Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke über das Problem berichtet, für das es bisher von Citrix keinen Patch gibt. Der Supportbeitrag CTX267679 – Mitigation steps for CVE-2019-19781 erklärt, wie Administratoren die Ausnutzbarkeit der Schwachstelle vorab erschweren können. Ergänzung: Beachtet den nachfolgenden Kommentar von Chris Demmerer.

Es wird ernst: PoC und Angriffe

Ich hatte es bereits am Freitag bzw. zum Wochenende mitbekommen, Citrix ADC-Administratoren dürften jetzt einige graue Haare bekommen. Bereits am vergangenen Samstag wiest Catalin Cimpanu darauf hin, dass zwei Proof of Concept-Codebeispiele für die jetzt Shitrix genannte Sicherheitslücke öffentlich verfügbar sind.

Cimpanu hat die Details im verlinkten ZDNet-Beitrag zusammengetragen. Aber in Kurzfassung findet sich dort auch nicht mehr als das es die Lücke, aber keinen Patch gibt und man dringend den Workaround zum Härten gegen Angriffe anwenden soll. Auf reddit.com gibt es mit heutigem Datum eine nette Linksammlung zum Thema (und auf das Webinar vom SANS Institute hatte ich am 3. Januar 2020 hingewiesen, siehe Links am Artikelende – aktuell gibt es diesen Nachtrag).


Anzeige

Von Sicherheitsforscher Kevin Beaumont weiß ich, dass seine Citrix ADC Honeypots seit einigen Tagen bezüglich der Schwachstelle CVE-2019-19781 angegriffen werden und die Angreifer versuchen, sensible Informationen abzugreifen. Es scheint zum Freitag/Wochenende wohl auch erste deutsche Firmen mit Einbrüchen getroffen zu haben.

CERT-Bund hat Samstag noch eine Warnung vor der Schwachstelle herausgegeben und weist heute auf die von Citrix avisierten Datumsangaben für die Auslieferung von Patches (20. – 31. Januar 2020) hin. Administratoren müssen also aktiv werden und den Workaround bis zu diesen Patches verwenden. Scheint aber noch nicht zu allen Admins durchgedrungen zu sein.

Catalin Cimpanu weist in obigem Tweet darauf hin, dass über 25.000 Citrix ADC (NetScaler) Endpunkte bezüglich CVE-2019-19781 angreifbar seien – darunter befinden sich auch 2.510 Endpunkte in Deutschland.

Obiger Tweet weist darauf hin, dass TrustSec einen Scanner auf GitHub freigegeben hat, mit dem Admins prüfen können, ob ein Server über die Schwachstelle CVE-2019-19781 angreifbar ist.

Ergänzung: In nachfolgendem Tweet weist Sicherheitsforscher Kevin Beaumont auf einen Blog-Beitrag von FireEye hin.

Die beschreiben, über welche Wege Angriffe auf Industrienetzwerke durchgeführt werden, um die Shirtrix-Schwachstelle auszunutzen.

Ergänzung 2: Es gibt noch einen weiteren Aspekt, der zu beachten ist. Ich habe daher den Nachfolgebeitrag Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler veröffentlicht.

Autsch: FreeBSD 8.4 (EOL 1.8.2015)

Die Haare der Citrix NetScaler-Admins dürften sich möglicherweise noch mehr grau gefärbt haben. Zum Wochenende bin ich auf einen Tweet gestoßen, der es in sich hat (ok, meine Haare sind inzwischen weiß und ich administriere keine Citrix-Geschichten).

Aktuell harrt das noch einer Antwort von Citix – aber angesichts des obigen Desasters und der Bedeutung für die Firmen stelle ich es hier mal mit ein.

Ähnliche Artikel:
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Netzwerk, Sicherheit, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781

  1. masterX244 sagt:

    Nach der FreeBSD-8.4-Überschrift scheint etwas Datensalat entstanden zu sein…
    "Die Haare der Citrix NetScaler dürften möglicherweise noch mehr graue Haare bekommen. " sollte wohl "Die Admins der Citrix NetScaler dürften möglicherweise noch mehr graue Haare bekommen. " seim

    • Günter Born sagt:

      Hast Recht, der Administrator war mir vor Schreck unter den Schreibtisch gepurzelt – der Rest ist dem Umstand geschuldet, dass ich heute früh hier zwischen einer Hand voll Artikel zu Edge und Win7 für Heise und einigen anderen Themen ständig springen musste. Ist korrigiert – und der Citrix-Admin ist gerade auch wieder aufgetaucht – der Gute hat sich inzwischen fast alle Haare ausgerauft. Jetzt weiß ich auch, warum ich noch Wolle wie Kojote Karl auf dem Kopf hab – dass Leben kann gnädig sein, nie Citrix an der Backe gehabt ;-).

      • Bezüglich der FreeBSD 8.4 Geschichte. Man muss dazu sagen, dass Citrix dennoch notwendige Security Patches in das OS einfließen lässt. Es handelt sich nicht um den identischen Build welcher seit August 2015 EOL ist.

  2. 1ST1 sagt:

    Bei Heise in einem Kommentar steht, dass bei dem dieses Wochenende schon bei 7 Kunden in die Netscaler eingebrochen wurden.

    • Günter Born sagt:

      Ich hatte es gelesen – und auch die 'Beschwerden' einiger Leute, dass heise so spät sei. In den Threads finden ich auch einige Antworten von mir (u.a. mit Verweisen auf Beiträge im Blog vom 24.12.2019). Hätte den Kunden auch nichts mehr genutzt, wenn sie zum Montag den Workaround anwenden.

      Die jetzigen Beiträge sind so was wie ein last call – so quasi 5 nach 12.

  3. Christian Demmerer sagt:

    ich möchte euch darüber informieren, dass wir eben auf einen BUG gestoßen sind, wo der genannte Workaround nicht funktioniert!!

    Betroffene Firmware: 12.1.50.28.nc

    **Release Notes – Fixed …**
    In a Citrix Gateway appliance, responder and rewrite policies bound to VPN virtual servers might not process the packets that matched the policy rules.
    [From Build 51.19]
    [# NSHELP-18311]

    In a Citrix Gateway appliance, responder and rewrite policies bound to VPN virtual servers might not process the packets that matched the policy rules.
    [From Build 50.31]
    [# NSHELP-18311]

    Abhilfe: Aktualisierung auf die Firmware 12.1 55.13.nc

  4. Puchte sagt:

    Hallo,

    heute wurde im Nachgang zum CVE-2019-19781 Citrix NetScaler eine zusätzliche Schwachstelle in 2 HTTP HEADERN entdeckt (Artikel isc.sans.edu),
    d.h. alle Systeme welche die „Mitgation Steps aus dem Artikel https://support.citrix.com/article/CTX267679" schon durchlaufen haben, kommen um eine weitere Änderung nicht herum.

  5. Frank sagt:

    Hallo,

    ist es nicht damit getan den ganzen Mist hinter eine Firewall zu packen, wie es eigentlich schon immer getan wurde?
    Klar, die User motzen über die Anmeldung mehr am VPN Client, was aber egal ist, sie motzen immer über was, was sie nicht verstehen.

    Grüße

Schreibe einen Kommentar zu Puchte Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.