[English]Gut, die 'smoking Gun' fehlt mir noch. Aber es kristallisiert sich heraus, dass die Cyberangriffe auf Gedia & Potsdam, die ich in den letzten Stunden hier im Blog berichtet habe, über die Shitrix-Schwachstelle im Citrix ADC (Netscaler) möglich waren. Ergänzung: Weitere Kommunen wie die Stadt Brandenburg sind auch betroffen.
Anzeige
Was ist die Shitrix-Schwachstelle?
Im Citrix ADC (Application Delivery Controller, früher Netscaler) wurde am 17. Dezember 2019 die Schwachstelle CVE-2019-19781 bekannt, für die es keinen Patch gab. Ich hatte zeitnah am 24. Dezember im Beitrag Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke darüber berichtet. Von Citrix wurde ein Workaround veröffentlicht, mit dem Administratoren ihre Citrix-Appliances gegen die Ausnutzung der Schwachstelle abdichten mussten.
Weihnachten haben Admins Urlaub
Da das alles kurz vor Weihnachten passierte, haben viele Administratoren das wohl nicht mehr mitbekommen. Hier im Blog hatte ich das in einem Sicherheits-Sammelbeitrag Sicherheitsinformationen (3.1.2020) direkt zum Start des neuen Jahres nochmals hochgeholt.
Keine Reaktion allerorten
Als in der 2. Januar-Woche des Jahres 2020 Proof of Concept (PoC) Exploits vorlagen, um die Schwachstelle auszunutzen – und Honeypots bereits angegriffen wurden – war es für einige Leute bereits zu spät. Ich hatte zwar erneut vor der Schwachstelle gewarnt (siehe Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781). Aber mir war bei heise ein Kommentar unter die Augen gekommen, wo jemand schrieb, dass bereits bei 7 Kunden in die Netscaler eingebrochen wurde. Trotzdem wurden allein in Deutschland über 2.000 Netscaler weiterhin angreifbar per Internet betrieben.
Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781 (via @bad_packets)https://t.co/Q8BfxZZLHo pic.twitter.com/BJA7mEtVYM
— Catalin Cimpanu (@campuscodi) January 12, 2020
Anzeige
Seit einigen Tagen liegen Firmware-Updates vor – ich habe hier im Blog ja zeitnah jeweils berichtet (siehe Artikel am Beitragsende). Den Abrufzahlen der Beiträge zu urteilen, interessiert das kaum jemanden (sind ja weniger als 2.500 Endpunkte in Deutschland), oder die Admins unter den Lesern waren informiert und hatten das im Griff. Mein letzter Beitrag Citrix Schwachstelle: Neue Updates und Scanner für Tests befasst sich auch mit einem Scanner, der kompromittierte Citrix ADC-Appliances aufspüren kann.
Und es hat Bum gemacht in Potsdam und in Attendorn
Wenn meine Informationen nicht ganz falsch sind, deutet jetzt vieles darauf hin, dass es die Stadtverwaltung von Potsdam über die Shitrix-Schwachstelle erwischt hat. Es gab von der Stadt Potsdam die Formulierung, das 'offenbar eine Schwachstelle im System eines externen Anbieters ausgenutzt wurde'. Mir liegt die Information vor, dass Potsdam auf einer Liste der über den Citrix Netscaler angreifbaren Hosts vertreten war. Ein Sicherheits-Journalist beschreibt es so: Potsdam hatte mehrere Wochen nachdem die Lücke bekannt war noch verwundbare Systeme am Netz. Ich habe die Informationen im Blog-Beitrag Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown nachgetragen.
Und auch der vor wenigen Stunden berichtete Ransomware-Befall beim Automobilzulieferer Gedia ist wahrscheinlich über die Citrix-Schwachstelle erfolgt. Mir ist diesbezüglich eine Aussage eines Sicherheitsforschers unter die Augen gekommen, der sic die Dokumente angesehen hat, die von der Sodinokibi-Gruppe veröffentlicht worden. Der Angriff erfolgte ja von dieser Gruppe über die Sodinokibi-Ransomware und die Hintermänner drohen, die erbeuteten 50 GByte an Gedia-Daten zu veröffentlichen, weil Gedia nicht zahlt. Der Sicherheitsforscher schreibt:
I examined the files #REvil posted from http://Gedia.com after they refused to pay the #ransomware.
the interesting thing I discovered is that they obviously hacked Gedia via the #Citrix exploit
my bet is that all recent targets were accessed via this exploit.
Ich habe den Original-Tweet im Beitrag Ransomware-Befall beim Automobilzulieferer Gedia integriert. Dort ist ein Bild zu sehen, welches Konfigurationsdaten für diverse virtuelle Maschinen (VMs) bei gedia.com zeigt. Neben einem Windows Server 2003 Standard sind dort Windows 7-Clients, Windows 8- und Windows 10-Rechner sowie Oracle Solaris-Systeme mit dem Citrix Netscaler aufgeführt. Das ist zwar kein 'rauchender Colt', denn die Citrix ADC-Appliances könnten ja über den Citrix-Workaround gegen die Shitrix-Schwachstelle gehärtet worden sein.
Aber die Kombination 'possible Shitrix-Systeme' in Kombination 'zoink, Du wurdest gehackt' lässt schon bestimmte Schlüsse zu. Und ich fürchte, wird sehen hier nicht das Ende der Fahnenstange. Im Blog-Beitrag Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler hatte ich ja berichtet, dass FireEye einen Angriff bemerkt hat, der angreifbare Citrix-Appliances von Infektionen bereinigt und gegen Angriffe gehärtet hat. Gleichzeitig hinterließ dieser Hacker eine Backdoor, über die er jederzeit Zugriff auf die Firmennetzwerke hat. Wäre schön, wenn ich am Ende des Tages 'die Flöhe husten gehört hätte'.
Ergänzung: Auch die Stadt Brandenburg ist von der Citrix-Schwachstelle, die nicht gestopft wurde, betroffen (siehe Cyber-Angriffe: Stadt Brandenburg und Gemeinde Stahnsdorf offline). Und noch ein Nachtrag: Hanno Böck hat bereits am 14. Januar 2020 in diesem Golem-Beitrag in Sachen Citrix aufgezeigt, wie schlecht es in deutschen Behörden um die IT-Sicherheit bestellt ist.
Ähnliche Artikel:
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Citrix Schwachstelle: Neue Updates und Scanner für Tests
Ransomware-Befall beim Automobilzulieferer Gedia
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Anzeige
Hier ist eindeutig eine Teilschild von Citrix zu sehen. Und das ist nicht nur banal die brisante Sicherheitslücke, die scheinbar banal einfach auszunutzen ist, sondern auch die Informationspolitik. Die hätten schon am 17.12 viel lauter poltern müssen, besser noch früher, damit wirklich jeder Betreiber eines Netscaler sofort einen dicken fetten roten Alarm auf dem Schirm hatte und diesen Workarround sofort umsetzt. Statt dessen wurde das Thema erst zwischen den Jahren, wo in der westlich/christlich geprägten Welt mindestens dreiviertel der Admins frei hat, breit bekannt. Aber das Desaster geht ja noch weiter, weil erst vor einer Woche bekannt wurde, dass der Workarround nicht auf allen Versionen hilft, sondern dass teilweise erst noch ein Firmwareupdate gemacht werden muss, damit das Scheunentor nicht mehr sperrangelweit offen steht. Ich hatte am 20.12 noch über das damals veröffentlichte Cisco-Zertifikatsproblem gewitzelt, dass da noch effektiv maximal 3 Arbeitstage blieben, um in einem Unternehmen vielleicht dutzend eingesetzte Switches vor dem Tod am 1.1.2020 zu retten. Beides nicht witzig. Vielleicht wäre es auch gut gegangen, wenn Citrix die Sicherheitslücke erst jetzt, wo erste richtige Patches verfügbar sind, veröffentlicht hätte? Dann hätten die ganzen Skriptkiddies diese Lücke vielleicht nicht gesehen…? Mer waas es nett. Momentan steckt man in der nächsten Zwickmühle, soll ich, oder soll ich nicht? Ist das Update, früher erschienen als angekündigt, mit heißer Nadel gestrickt und voll buggy, oder kann ich vertrauen und Freitags patchen, ohne dass mir das Ding übers Wochenende um die Ohren fliegt? Besser erst nochmal eine Woche warten, beobachten was die IT-Portale und Foren für Erfahrungesberichte zum Update schreiben und hoffen, dass der Workarround so lange noch hält? Fest steht auf jeden Fall, wenn der Netscaler mal erneuert werden muss, wird zwangsläufig zu fragen sein, ob es nicht eine andere Lösung gibt. Das Vertrauen in die Security-Appliance Netscaler (oder wie das Ding bis dahin heißt) ist erstmal ziemlich hin.
Eine Alternative zu den Netscalern von Shitrix kommt z.B. vom Hersteller "F5 Networks".
Bei der Stadt Brandenburg wurde offensichtlich auch über die Netscaler eingebrochen: https://www.heise.de/newsticker/meldung/Cyberangriff-auf-Verwaltung-Stadt-Brandenburg-teilweise-vom-Netz-4645577.html