[English]Im Citrix ADC (Application Delivery Controller, früher Netscaler) gibt es eine ungepatchte Schwachstelle CVE-2019-19781. Seit einigen Tagen liegen Proof of Concept (PoC) Exploits vor, um die Schwachstelle auszunutzen – und Honeypots werden bereits angegriffen. Erste Nutzer berichten auch schon von Einbrüchen in Netzwerke zum Wochenende. Administratoren, die für Citrix ADC verantwortlich sind, müssen handeln. Ergänzung: Erkenntnisse von FireEye hinzugefügt.
Anzeige
Schwachstelle CVE-2019-19781 in Citrix ADC
Die Schwachstelle CVE-2019-19781 Vulnerability in Citrix Application Delivery Controller and Citrix Gateway leading to arbitrary code execution existiert im Citrix Application Delivery Controller (NetScaler ADC) und im Citrix Gateway (NetScaler Gateway).
Citrix (NetScaler) ADC ist ein Load Balancer und Überwachungs-System. Das Unified Gateway ermöglicht den Remote-Zugriff auf interne Anwendungen. Dies kann sowohl Desktopanwendungen als auch Intranet- oder Webanwendungen umfassen.
Die als kritisch eingestufte Schwachstelle könnte einem lokalen, nicht priviligierten Angreifer eine ungewollte Code-Ausführung ermöglichen. Mikhail Klyuchnikov, Sicherheit-Experte bei Positive Technologies, entdeckte diese kritische Schwachstelle.
Breit im Einsatz
Der Citrix ADC/NetScaler ist (nach einer Rückmeldung eines Spezialisten vom Wochenende an mich) bei mindestens 80.000 Enterprise/Regierungskunden im Einsatz. Alle Unternehmen die auf Citrix XenApp/XenDesktop zur Virtualisierung ihrer Anwendungen setzen, haben in der Regel auch einen NetScaler im Einsatz.
Ich hatte am 24. Dezember 2019 im Artikel Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke über das Problem berichtet, für das es bisher von Citrix keinen Patch gibt. Der Supportbeitrag CTX267679 – Mitigation steps for CVE-2019-19781 erklärt, wie Administratoren die Ausnutzbarkeit der Schwachstelle vorab erschweren können. Ergänzung: Beachtet den nachfolgenden Kommentar von Chris Demmerer.
Anzeige
Es wird ernst: PoC und Angriffe
Ich hatte es bereits am Freitag bzw. zum Wochenende mitbekommen, Citrix ADC-Administratoren dürften jetzt einige graue Haare bekommen. Bereits am vergangenen Samstag wiest Catalin Cimpanu darauf hin, dass zwei Proof of Concept-Codebeispiele für die jetzt Shitrix genannte Sicherheitslücke öffentlich verfügbar sind.
Proof-of-concept code published for Citrix bug as attacks intensify
* Not one, but two PoCs have been published for CVE-2019-19781 (also known as Shitrix now)
* PoC 1: https://t.co/gdIbWAAc49
* PoC 2: https://t.co/tUiDcwpQ37https://t.co/5yFjnNrf65 pic.twitter.com/zzJcaeE8wE— Catalin Cimpanu (@campuscodi) January 11, 2020
Cimpanu hat die Details im verlinkten ZDNet-Beitrag zusammengetragen. Aber in Kurzfassung findet sich dort auch nicht mehr als das es die Lücke, aber keinen Patch gibt und man dringend den Workaround zum Härten gegen Angriffe anwenden soll. Auf reddit.com gibt es mit heutigem Datum eine nette Linksammlung zum Thema (und auf das Webinar vom SANS Institute hatte ich am 3. Januar 2020 hingewiesen, siehe Links am Artikelende – aktuell gibt es diesen Nachtrag).
In my Citrix ADC honeypot, CVE-2019-19781 is being probed with attackers reading sensitive credential config files remotely using ../ directory traversal (a variant of this issue). So this is in the wild, active exploitation starting up. https://t.co/pDZ2lplSBj
— Kevin Beaumont (@GossiTheDog) January 8, 2020
Von Sicherheitsforscher Kevin Beaumont weiß ich, dass seine Citrix ADC Honeypots seit einigen Tagen bezüglich der Schwachstelle CVE-2019-19781 angegriffen werden und die Angreifer versuchen, sensible Informationen abzugreifen. Es scheint zum Freitag/Wochenende wohl auch erste deutsche Firmen mit Einbrüchen getroffen zu haben.
As active scanning and exploit scripts are in the wild, it is recommended to deploy the mitigation filter for malicious URL requests until the security updates are available ➡️ https://t.co/StXksW6OVu
— CERT-Bund (@certbund) January 11, 2020
CERT-Bund hat Samstag noch eine Warnung vor der Schwachstelle herausgegeben und weist heute auf die von Citrix avisierten Datumsangaben für die Auslieferung von Patches (20. – 31. Januar 2020) hin. Administratoren müssen also aktiv werden und den Workaround bis zu diesen Patches verwenden. Scheint aber noch nicht zu allen Admins durchgedrungen zu sein.
Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781 (via @bad_packets)https://t.co/Q8BfxZZLHo pic.twitter.com/BJA7mEtVYM
— Catalin Cimpanu (@campuscodi) January 12, 2020
Catalin Cimpanu weist in obigem Tweet darauf hin, dass über 25.000 Citrix ADC (NetScaler) Endpunkte bezüglich CVE-2019-19781 angreifbar seien – darunter befinden sich auch 2.510 Endpunkte in Deutschland.
We've just released a scanner that checks to see if a server is vulnerable for CVE-2019-19781.
It does not actually exploit the target and is erfectly safe with no impact on the system.#TrustedSechttps://t.co/bjevUtdLZ0 pic.twitter.com/MucHDih6QK
— TrustedSec (@TrustedSec) January 11, 2020
Obiger Tweet weist darauf hin, dass TrustSec einen Scanner auf GitHub freigegeben hat, mit dem Admins prüfen können, ob ein Server über die Schwachstelle CVE-2019-19781 angreifbar ist.
Ergänzung: In nachfolgendem Tweet weist Sicherheitsforscher Kevin Beaumont auf einen Blog-Beitrag von FireEye hin.
FireEye blog about #Shitrix exploits, hitting multiple industries. https://t.co/MaWWg4Pzmq
— Kevin Beaumont (@GossiTheDog) January 15, 2020
Die beschreiben, über welche Wege Angriffe auf Industrienetzwerke durchgeführt werden, um die Shirtrix-Schwachstelle auszunutzen.
Ergänzung 2: Es gibt noch einen weiteren Aspekt, der zu beachten ist. Ich habe daher den Nachfolgebeitrag Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler veröffentlicht.
Autsch: FreeBSD 8.4 (EOL 1.8.2015)
Die Haare der Citrix NetScaler-Admins dürften sich möglicherweise noch mehr grau gefärbt haben. Zum Wochenende bin ich auf einen Tweet gestoßen, der es in sich hat (ok, meine Haare sind inzwischen weiß und ich administriere keine Citrix-Geschichten).
Did you know that Citrix ADC (including 13.x) is running on an unspported version of FreeBSD? FreeBSD 8.4 was already EOL on August 1,2015. #ADC #FreeBSD pic.twitter.com/0pICToTQet
— Julian Mooren (@citrixguyblog) January 11, 2020
Aktuell harrt das noch einer Antwort von Citix – aber angesichts des obigen Desasters und der Bedeutung für die Firmen stelle ich es hier mal mit ein.
Ähnliche Artikel:
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Anzeige
Nach der FreeBSD-8.4-Überschrift scheint etwas Datensalat entstanden zu sein…
"Die Haare der Citrix NetScaler dürften möglicherweise noch mehr graue Haare bekommen. " sollte wohl "Die Admins der Citrix NetScaler dürften möglicherweise noch mehr graue Haare bekommen. " seim
Hast Recht, der Administrator war mir vor Schreck unter den Schreibtisch gepurzelt – der Rest ist dem Umstand geschuldet, dass ich heute früh hier zwischen einer Hand voll Artikel zu Edge und Win7 für Heise und einigen anderen Themen ständig springen musste. Ist korrigiert – und der Citrix-Admin ist gerade auch wieder aufgetaucht – der Gute hat sich inzwischen fast alle Haare ausgerauft. Jetzt weiß ich auch, warum ich noch Wolle wie Kojote Karl auf dem Kopf hab – dass Leben kann gnädig sein, nie Citrix an der Backe gehabt ;-).
Bezüglich der FreeBSD 8.4 Geschichte. Man muss dazu sagen, dass Citrix dennoch notwendige Security Patches in das OS einfließen lässt. Es handelt sich nicht um den identischen Build welcher seit August 2015 EOL ist.
Bei Heise in einem Kommentar steht, dass bei dem dieses Wochenende schon bei 7 Kunden in die Netscaler eingebrochen wurden.
Ich hatte es gelesen – und auch die 'Beschwerden' einiger Leute, dass heise so spät sei. In den Threads finden ich auch einige Antworten von mir (u.a. mit Verweisen auf Beiträge im Blog vom 24.12.2019). Hätte den Kunden auch nichts mehr genutzt, wenn sie zum Montag den Workaround anwenden.
Die jetzigen Beiträge sind so was wie ein last call – so quasi 5 nach 12.
Hier gibts ein Test-Tool: https://github.com/cisagov/check-cve-2019-19781/blob/develop/README.md
ich möchte euch darüber informieren, dass wir eben auf einen BUG gestoßen sind, wo der genannte Workaround nicht funktioniert!!
Betroffene Firmware: 12.1.50.28.nc
**Release Notes – Fixed …**
In a Citrix Gateway appliance, responder and rewrite policies bound to VPN virtual servers might not process the packets that matched the policy rules.
[From Build 51.19]
[# NSHELP-18311]
In a Citrix Gateway appliance, responder and rewrite policies bound to VPN virtual servers might not process the packets that matched the policy rules.
[From Build 50.31]
[# NSHELP-18311]
Abhilfe: Aktualisierung auf die Firmware 12.1 55.13.nc
Danke für die Ergänzung – hilft den Betroffenen sicherlich.
https://www.bleepingcomputer.com/news/security/dutch-govt-suggests-turning-off-citrix-adc-devices-mitigations-may-fail/
Erst Updaten, dann Workarround umsetzen soll helfen.
Darüber hinaus habe ich erfahren, dass Citrix scheinbar selbst aktiv das Internet nach verwundbaren Netcalern absucht und betroffene Betreiber per Email warnt. Jedenfalls hat ein Bekannter von mir, der auch einen Netscaler bei seiner Firma betreut, eine entsprechende Mail bekommen.
Hallo,
heute wurde im Nachgang zum CVE-2019-19781 Citrix NetScaler eine zusätzliche Schwachstelle in 2 HTTP HEADERN entdeckt (Artikel isc.sans.edu),
d.h. alle Systeme welche die „Mitgation Steps aus dem Artikel https://support.citrix.com/article/CTX267679" schon durchlaufen haben, kommen um eine weitere Änderung nicht herum.
Danke für die Ergänzung. Es gibt noch einen weiteren Aspekt, der zu beachten ist. Ich habe daher den Nachfolgebeitrag Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler veröffentlicht.
Welche Änderung wäre das?
Hallo,
ist es nicht damit getan den ganzen Mist hinter eine Firewall zu packen, wie es eigentlich schon immer getan wurde?
Klar, die User motzen über die Anmeldung mehr am VPN Client, was aber egal ist, sie motzen immer über was, was sie nicht verstehen.
Grüße