Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler

[English]Noch ein kurzer Sammelbeitrag für Administratoren, die den Citrix ADC (Application Delivery Controller, früher Netscaler) im Einsatz haben. Die Schwachstelle CVE-2019-19781 wird längst ausgenutzt. Zudem sind weitere Schwachstellen und Backdoors bekannt geworden. Da noch keine Firmware-Updates vorliegen (kommen ab nächste Woche), müssen Betroffene nochmals ran und ggf. Maßnahmen zur Härtung gegen die Schwachstellen sowie zusätzliche Prüfungen zum Sicherstellen, dass die Instanzen nicht infiziert sind, durchführen.


Anzeige

Das BSI warnt vor Schwachstelle CVE-2019-19781

Ich hatte ja bereits mehrfach vor der Schwachstelle CVE-2019-19781 hier im Blog gewarnt (siehe meine verlinkten Beiträge am Artikelende). Im Artikel Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke ist sogar ein Hinweis auf einen Scanner für die Schwachstelle zu finden. Eigentlich sollte man meinen, dass jeder Admin endlich gehandelt hat.

Ist anscheinend nicht der Fall, denn das BSI sieht sich gemäß obigem Tweet zu einer erneuten Warnung veranlasst. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen zahlreiche Meldungen vor, nach denen Citrix-Systeme erfolgreich angegriffen werden. Das BSI ruft Anwender erneut dringend auf, die vom Hersteller Citrix bereitgestellten Workaround-Maßnahmen umgehend auszuführen und nicht auf die Sicherheitsupdates zu warten. Anwender, die die Workaround-Maßnahmen bislang nicht umgesetzt haben, sollten zudem ihre direkt mit dem Internet verbundenen Citrix-Systeme auf eine wahrscheinliche Kompromittierung prüfen.

Tipp: Blog-Leser Christian Demmerer hatte in diesem Kommentar darauf hingewiesen, dass die von Citrix empfohlenen Gegenmaßnahmen zum Entschärfen der Schwachstelle bei einigen Firmware-Versionen nicht funktionieren. Es gibt einen Bug und Christian beschreibt eine Lösung.

Achtung: Die Kollegen bei Bleeping Computer weisen in diesem Artikel auf eine Empfehlung der niederländischen Sicherheitsbehörden hin, nach denen der Citrix ADC/Netscaler außer Betrieb genommen werden sollte, bis Patches verfügbar seien. Die Workarounds von Citrix sollen nicht bei allen Geräte gegen Angriffe helfen. Das betrifft aber das in obigem Tipp von Christian Demmerer angesprochende Problem der veralteten Firmware auf einigen Geräten.

Neue Prüfungen erforderlich!

Blog-Leser Puchte weist in diesem Kommentar darauf hin, dass man beim Citrix NetScaler eine zusätzliche Schwachstelle in 2 HTTP-Headern entdeckt habe. Seit erste Proof of Concept (PoC) Exploits veröffentlicht wurden, werden Angriffe auf den Citrix ADC festgestellt.


Anzeige

Honeypot Detects per Hour (Citrix ADC)
(Citrix ADC Honeypot Detects per Hour, Quelle: SANS)

Obige Grafik zeigt die Zunahme der Angriffsversuche, die von einem Honypot aufgezeichnet werden. Dabei ist bei einer Analyse aufgefallen, dass zwei bekannte Exploits Dateien in folgenden Verzeichnissen hinterlassen:

/var/tmp/netscaler/portal/templates
/netscaler/portal/templates

Es gibt aber wohl einen Bot, der versucht die XML-Dateien zu löschen. Das SANS-Institut beschreibt hier die Details. In Kurz: Wenn ihr Citrix ADC/Netscaler administriert und die bisherigen, von Citrix vorgeschlagenen Workarounds noch nicht angewandt habt, kümmert euch dringend drum.

Zusätzlich sollten alle Administratoren des Citrix ADC/Netscaler prüfen, ob diese nicht bereits kompromittiert sind und die hier beschriebenen Dateien zu finden sind. Um verwundbare Systeme aufzuspüren, ist in der Shell des Citrix ADC/Netscaler folgender Befehl einzugeben:

curl https://host/vpn/../vpns/cfg/smb.conf --path-as-is

Ein Antwortcode von 200 bedeutet, dass des Citrix ADC/Netscaler verwundbar ist. Eine 403-Antwort zeigt an, dass der Workaround zum Abschwächen des Bugs vorhanden ist. Eine 404-Antwort bedeutet wahrscheinlich, dass es sich nicht um ein Citrix ADC oder ein anderes anfälliges System handelt. Lest aber die Hinweise in nachfolgendem Abschnitt

404 Exploit Not Found: FireEye findet eine Backdoor

Die Nacht bin ich noch auf einen Tweet von Christopher Glyer (Chief Security Architec beim Sicherheitsanbieter FireEye) gestoßen.

Wird bei obigem Test der Code 404 Exploit Not Found zurück gemeldet? Dann kann es sein, dass der Citrix ADC/Netscaler bereits durch einen Bot besucht wurde. Nachdem die FireEye-Sicherheitsexperten dutzende von erfolgreichen Angriffsversuchen auf Citrix ADCs, bei denen die Citrix-Schutzmaßnahmen zum Abschwächen von CVE-2019-19781 nicht implementiert waren, analysiert haben, fielen mehrere Gruppen an Exploits auf. Dabei fiel ein 'Angreifer' aus der Reihe, da er eine zuvor noch nicht gesehene Nutzlast beim Angriff einsetzt. Er hat dafür die Code-Familie NOTROBIN entwickelt.

Ein Angreifer scannt das Internet wohl nach verwundbaren Citrix ADC/Netscaler-Instanzen. Sobald er Zugang zu einem anfälligen NetScaler-Gerät erhält, bereinigt dieser Akteur bekannte Malware und setzt NOTROBIN ein, um nachfolgende Angriffsversuche zu blockieren!

Im ersten Augenblick könnte man meinen: Oh, ein White Hat-Hacker, der gutes tut. Aber es ist nicht alles so, wie es scheint, denn die NOTROBIN-Nutzlast richtet eine Backdoor ein. Wer eine geheime Passphrase kennt, kann auf den Citrix ADC/Netscaler zugreifen. FireEye glaubt, dass dieser Akteur im Stillen den Zugang zu Citrix ADC/Netscaler -Geräten für eine spätere Kampagne sammeln könnte. Details zum Angriff und Hinweise, wie man feststellt, ob die Backdoor vorhanden ist, sind in diesem FireEye-Blog-Beitrag nachzulesen.

Ähnliche Artikel:
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler

  1. 1ST1 sagt:

    Was kann man gegen die Schwachstelle in den 2 HTTP-Headern machen?

    Übrigens, die niederländische Cert empfiehlt, die Netscaler abzuschalten, wenn es geht… https://www.bleepingcomputer.com/news/security/dutch-govt-suggests-turning-off-citrix-adc-devices-mitigations-may-fail/

  2. Rainer Winkler sagt:

    Derzeit sterben viele PCs wegen Speichermangel: 4 GB reichen für Windows 7 / 64 bit nicht mehr aus. Ich selbst habe allerdings 64-bit-Maschinen mit mindestens 8 GB ausgeliefert, aber das gefiel vielen nicht. Nun ist es vorbei damit; selbst wenn fast nichts drauf installiert ist. Der trusted installer, der bei Windows-Updates aktiv wird, frisst teilweise über 2 GB, das System selbst braucht schon 2,5 GB. Nun habe ich so sinnlose Dienste wie Windows-Mediaserver und Windows-Defender (wo Virenscanner schon drauf ist) deaktiviert, aber das reicht immer noch nicht. Updates gehen insbesondere bei 64 bit Windows so gut wie gar nicht mehr.

    • 1ST1 sagt:

      Und was hat das jetzt mit Citrix Netscalern zu tun? Übrigens, um bei Ihrem Thema zu bleiben: Mein kleines Notebook hier mit Win 10 x64 läuft mit 4 GB RAM problemlos… Vielleicht ist es das Schangenäl, was statt Defender zum Einsatz kommt?

  3. Mat sagt:

    Hallo

    Danke für den Beitrag. Was ist wenn bei der Abfrage:
    curl https://host/vpn/../vpns/cfg/smb.conf –path-as-is

    Keine Antwort kommt? Weder 200 noch 403 noch 404.

    • Günter Born sagt:

      Ich persönlich kann da keine Antwort geben – Citrix ist für mich Neuland. Ich bin sozusagen der Bote der schlechten Nachricht, der dann von allen Seiten die Hucke voll gehauen bekommt.

      Als Citrix-Kunde könntest Du direkt bei deren Support nachhaken, was ist. Wenn Du eine Antwort bekommst, lass uns das Ergebnis wissen. Danke.

    • Daniel sagt:

      Probier mal an den Befehl noch ein "-I" dran zuhängen. Ohne die ".
      Ohne das -I dran hatte ich auch keine Antwort, mit dann 403.

      • Jörg sagt:

        Hi

        bei dem Aufruf erscheint bei mir :
        HTTP/1.1 480 VPN License Error
        Connection: close
        Content-Length: 523
        Cache-control: no-cache, no-store, must-revalidate
        Pragma: no-cache
        Content-Type: text/html

        Die entsprechenden Einstellung lt. Citrix sind alle eingerichtet. Bin ein wenig ratlos

  4. Günter Born sagt:

    Neue Statistik vom BSI:

    Wobei man dann nachgeschoben hat: Die Anzahl der insgesamt bis zum 13.01. als verwundbar gemeldeten Systeme war leider nicht ganz korrekt. Statt 4.957 waren es "nur" 4.604.

  5. Michael Müller sagt:

    Hallo, bei mir war es auch noch ein Problem mit dem Zertifikat auf dem Gateway direkt.
    Bei mit hat funktioniert :

    curl -k -I https:///vpn/../vpns/cfg/smb.conf –path-as-is

    Gruß Michael

  6. Timo sagt:

    Hier könnt ihr online prüfen ob ihr den Workaround korrekt umgesetzt habt
    https://cve-2019-19781.azurewebsites.net/

    • 1ST1 sagt:

      Wer ist so blöd, und wirft einer unbekannten Webseite sein Netscaler-Portal in den Rachen?

      • Michael Müller sagt:

        Hallo, also zuerst möchte ich sagen dass ich mit Timo nichts zu tun habe.
        Aber ich finde es eine Frechheit so einen Kommentar einzustellen.
        1. Die Netscaler lassen sich im Internet relativ einfach durch Scans finden. Ebenso könnte man durch DNS Abfragen darauf schließen. Also diese Info ist nicht super geheim!
        2. Kenne ich Christian Pedersen. Ich folge ihm auf Twitter. Er ist also kein Unbekannter. Er hat wertvolle Tipps rund im Citrix. Ich möchte ihn als Citrix Fachmann bezeichnen. https://twitter.com/zentura_cp
        3. Gibt es den Code zum Scanner auf Github. Diesen kannst du dir gerne anschauen. Da aber nicht alle sich mit Phyton auskennen, hat er die diesen Dienst als Webservice auf Azure zur Verfügung gestellt.
        https://github.com/trustedsec/cve-2019-19781

        Du musst den Dienst ja nicht benutzen! Man kann aber doch wenn man schon keine Ahnung hat auch mal die Klappe halten!

        Leute gibt es

        • 1ST1 sagt:

          Der PHP-Code ist nicht sehr aussagefähig. Denn der meldet auch einen sicheren Netscaler, wenn zwar der Workarround angewendet wurde, aber die Firmwareversion zu alt ist, was ja Auslöser dieses Artikels von GB ist. Besser man verlässt sich auf die Warnmail, die Citrix selbst verschickt, die scannen nämlich selbst auch.

          Was die "Frechheit" angeht, kann man sich fragen, ob die Seite wirklich zur genannten Person gehört. Eine Azureseite kann jeder mal eben schnell mieten, schreiben kann man auf so einer Seite viel und nicht jeder kennt den, der sich da als Urheber ausgibt – direkt nachprüfbar ist es nicht. Wenn der Scan Bestandteil einer größeren Seite zum Thema Citrix wäre, die einen gewissen Bekanntheisgrad hat, wo eine Historie nachvollziehbar ist, oder der Scan durch eine Fachzeitschrift, z.B. HeiseSec angeboten würde, wäre das eine andere Sache.

          Wenn ich mir z.B. in Firefox das HTTPS-Zertifikat der Seite ansehe, bekomme ich "Diese Website stellt keine Informationen über den Besitzer zur Verfügung." – Ja, danke, gut dass wir mal drüber geredet haben.

      • Michael Müller sagt:

        Noch was:
        Ich habe es benutzt!

        CVE-2019-19781-Scanner
        Company: TrustedSec
        Written by: Dave Kennedy
        This will look to see if the remote system is still vulnerable to CVE-2019-19781.

        Scanning for CVE-2019-19781 on: super.geheim.de
        [[92m*[0m] CITRIX Server found, However the server super.geheim.de is not vulnerable. Awesome!
        Finished testing 1 servers: Found 0 to be vulnerable. Below is a list system(s) identified:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.