[English]Die US-Cybersicherheitsbehörde CISA warnt Administratoren von Citrix NetScaler ADC Installationen. Bedrohungsakteure haben damit begonnen, die vor einigen Tagen bekannt gewordene NetScaler ADC Schwachstelle CVE-2023-3519 ausnutzen, um Webshells zu implantieren. Administratoren sollten nach Anzeichen einer Kompromittierung suchen.
Anzeige
Schwachstelle in Citrix-Produkten
Vor einigen Tagen hatte ich in einer Warnung an Administratoren von Citrix NetScaler ADC und Citrix Gateway nahegelegt, ihre Installationen zeitnah auf neue Software-Versionen zu aktualisieren. Denn der Hersteller warnt in einer Sicherheitsmeldung vor einer kritischen Remote Code Execution-Schwachstelle in den Produkten. Es wurden Updates für die betreffenden Produkte veröffentlicht, die von Administratoren auf den betreuten Installationen unverzüglich eingespielt werden sollten. Details finden sich im Blog-Beitrag Kritische RCE-Schwachstelle in Citrix NetScaler ADC und Citrix Gateway.
CISA-Warnung vor Angriffen
Die Schwere der Sicherheitslücke lässt schlimmes befürchten, es ist nur eine Frage der Zeit, bis die Schwachstelle CVE-2023-3519 angegriffen wird. Nun hat die US-Cybersecurity and Infrastructur Authority (CISA) eine konkrete Warnung veröffentlich. Carl Staalhood schreibt auf Twitter dazu:
Threat Actors Exploiting #Citrix #NetScaler CVE-2023-3519 to Implant Webshells < shell commands to check for signs of compromise
und verweist auf die CISA-Warnung Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells. Grund für die aktuelle Warnung der CISA vor der Ausnutzung von CVE-2023-3519 ist ein konkreter Fall.
Im Juni 2023 nutzten Bedrohungsakteure diese Schwachstelle als Zero-Day aus, um eine Webshell auf der nicht produktiven NetScaler ADC-Appliance einer kritischen Infrastrukturorganisation abzulegen. Die Webshell ermöglichte es den Angreifern, das Active Directory (AD) des Opfers zu erkunden und AD-Daten zu sammeln und zu exfiltrieren. Die Angreifer versuchten, seitlich zu einem Domänencontroller zu gelangen, doch die Netzwerksegmentierungssteuerung der Appliance blockierte die Bewegung.
Anzeige
Die Opferorganisation erkannte die Kompromittierung und meldete die Aktivitäten an CISA und Citrix. Citrix hat am 18. Juli 2023 ein Patch für diese Schwachstelle veröffentlicht. Die CISA-Warnung beschreibt Taktiken, Techniken und Verfahren (TTPs) sowie Erkennungsmethoden, die das Opfer der CISA mitteilte. Das Ganze kann als PDF abgerufen werden.
Die CISA empfiehlt Organisationen mit kritischen Infrastrukturen, die in dieser Empfehlung enthaltenen Erkennungshinweise zu nutzen, um eine Systemgefährdung festzustellen. Wenn eine potenzielle Gefährdung festgestellt wird, sollten die Organisationen die in dieser CSA enthaltenen Empfehlungen zur Reaktion auf Vorfälle anwenden. Wenn keine Kompromittierung festgestellt wird, sollten Unternehmen sofort die von Citrix bereitgestellten Patches anwenden.
Die Leute von Shadowserver haben mindestens 11170 eindeutige IPs gefunden, die meisten in den USA (4.1K), die auf angreifbare Citrix-Installationen hindeuten. In Deutschland wurden 1.300 dieser Instanzen gefunden.
Anzeige
Jeses, verheerend.
Wir haben auch direkt am 18. Juli den Patch eingespielt. Eine Prüfung war bis jetzt Positiv. Dennoch bleibt ein unsicheres Gefühl.
Da wird noch einiges auf kommen wenn noch so viele Systeme keinen Patch haben.
Dieser Vorfall zeigt wieder einmal, wie wichtig es ist, das man da ständig am Ball bleibt und wirklich täglich prüft, ob es Schwachstellen und entsprechende Patches gibt.
Und das man diese Patches dann auch unverzüglich installiert.
Schon ein Tag Verzug kann zu einer Komprimittierung führen.
Genau das denke ich seit der letzten schweren Sicherheitslücke bei Citrix ADC/NetScaler in 2019 auch.
Die Frage, die sich mir immer stellt:
Wie soll es auf Dauer gut gehen, wenn immer mehr Sofort-Reaktionen gefragt sind, aber alles manuell gepatcht werden muss?
Ob aus technischen Defiziten oder fehlender Sicherheit in einer automatischen Lieferkette, ist mir hier mal egal.
Ich befürchte, dass die Anforderung "immer genug passende Personalressourcen mit ausreichend Zeitressourcen vorhalten", sich nicht wirklich umsetzen lässt.
Auf dem Papier vielleicht.
Aber in der Praxis ist die Herausforderung doch enorm. Ist ja meist eine ganze Kette von Personen, die dann ad hoc für Klärungen, Entscheidungen und Umsetzung bereit stehen muss.
Und irgendwas ist doch immer.
*allen Citrix-Admins die Daumen gedrückt*
Jetzt müssen unsere Linux-Freunde mal wieder stark sein, nachdem es letzte Woche eines der Vorzeigeprojekte "Ghostscript" getroffen hat, ist jetzt das sehr sicherheitsrelevante OpenSSH, an dem die Besten der Besten programmieren, und JEDER in den Quellcode reinschauen kann, und das z.B. auch bei SFTP für öffentlich zugängliche Server eine außerordentlich wichtige Rolle spielt, vom BSI mit einem Score von 8.1 für die grandiose Leistung CVE-2023-38408 auf Sicherheitskala bedacht worden. Gratuliere! Patches gibts derzeit wahrscheinlich nur für OpenSSH 9 (9.3p2), aber da die Lücke in einer offensichtlich fehlerhaften Sicherheitskorrektur von OpenSSH 7 CVE-2016-10009 steckt, werden wohl auch zu 7 und 8 Backports nötig sein.
Und wie man leicht anhand der CVE-Nummern ausrechnen kann, war die Lücke auch nur unkritische 7 Jahre offen.
Jungs (und Mädels), es ist Wochenend-Patchday!
Ist dann aber ein arg schlechtes Omen für Windows-Nutzer – mal sehen, wie lange Redmond braucht, um das zu patchen … ;-). Erinnert mih daran, dass ich dazu mal einen Blog-Beitrag schreiben wollte …
Ob Windows selbst irgendwo OpenSHH benutzt, oder eine eigene Implementierung, das wäre zu klären. Aber Putty, Filezilla, usw., da wird das sicher eine Rolle spielen.
Was hat Putty oder Filezilla mit der Lücke zu tun? Der Bug befindet sich in ssh-agent, nicht im SSH-Daemon.
es spielt vermutlich nur dort eine rolle wo der ssh agent verwendet wird.
https://vulcan.io/blog/how-to-fix-cve-2023-38408-in-openssh/
Hab gerade mal als Urlaubsvertretung für unser Linux-Team abgeklappert, wie es bei den von uns verwendeten für Jedermann Quellcode einsehbare basierende Alternativbetriebssysteme aussieht, Debian, Redhat, Ubuntu, SuSE, Kali, usw. Ubuntu ist am schnellsten, dort gibts immerhin schon 9.3p2, was aber keine Standardinstallation ist, für die OpenSSH 7 und 8 Versionen kann man nur "Affected" nachlesen. Das wird ein spannendes Wochenende.
Apropos Urlaubsvertretung (es ist ja gerade Ferienzeit…), ich möchte nicht wissen in wie vielen KMU und Behörden die Citrix-Umgebung ausschließlich von nur einem Admin betreut wird.
Die Sicherheitshinweise bzw. Bulletins werden dann schlimmstenfalls auch nur an den E-Mail-Account des zuständigen Admin versendet.
Ist der Admin dann in Urlaub und seine Vertretung (falls vorhanden) hat sich zeitgleich krank gemeldet, tja dann Pech gehabt…
Abhilfe (sollte eigentlich Standard bzw. selbstverständlich sein) u. a.:
– Sicherheitshinweise werden an einen zentralen E-Mail-Verteiler gesendet
– klare Regelung und Definition der IT-Zuständigkeiten inkl. Vertretung
– zentrale "idiotensichere" Dokumentation, wie die Updates eingespielt werden, so dass im Notfall auch eine für das Verfahren nicht zuständige Personen der IT-Abteilung das Update einspielen kann (kostet Arbeit, ist aber Gold wert).
Aktuell wird für die hier installierte OpenSSH ausgegeben
| OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2
Die Quellen dieser OpenSSH wurden im Oktober 2019 veröffentlicht. Das Änderungsdatum der ssh.exe ist aus dem Mai 2021. Theoretisch könnten die was aus neueren Versionen zurückportiert haben. Was aber völliger Blödsinn wäre.
Ich bin wirklich gespannt, wann sich da mal was tut.
Ist genau meine Erfahrung – die Microsofties "shippen zwar gerne Open Source", dann aber Uralt-Klump. Daher auch mein Einsprengsel zum "Linux-Freunde"-Statement von 1ST1. Schwachstellen wird es immer geben – die Frage ist, wie damit umgegangen wird und wie schnell und zuverlässig gepatcht werden kann. Ansonsten verkneife ich mir an der Stelle jeglichen Vergleich "Linux – Windows" – jedes der OS hat seine Berechtigung. Was mich nur wahnsinnig abtörnt, ist die Gängelei Microsofts samt deren vollmundigen Marketing-Versprechen. Und wenn Du unter der Haube schaust, grinst dich der Muff von Tausend Jahren an, angereichert mit Bugs und "Anfängerfehlern von Kindern", wie Stefan Kanthak häufiger hier in den Kommentaren zu schreiben pflegt.
Ergänzung: Zu OpenSSL habe ich im Beitrag OpenSSH, die Schwachstellen (CVE-2023-38408) und fehlende Patches in Windows sowie PowerBI was geschrieben.
Ein bischen recherchieren kann manchmal helfen! Inzwischen ist wohl sicher, dass die Lücke nur auftritt, wenn man mit OpenSSL den sh-pkcs11-helper benutzt. Der wird gebraucht, um OpenSSL mit Smartcards und Tokens und ähnlichem zu benutzen, auch Passwortloses Anmelden per SSH-Keys im Client soll darüber laufen. Korrigieren Sie mich, nicht dass ich falsch liege, aber dafür hat Windows ja doch eigenständige Funktionen. Also nix da ssh.exe als SSH-Client, auch nicht Putty als SSH-Client, und auch nicht der Filezilla-FTP-Client, alles wohl nicht dafür anfällig. Aber ich lasse mich da gerne überraschen!
Die Fraktion der Nutzer von (üblicherweise) nicht im Quelltext verfügbaren Betriebssysteme aus Redmond darf sich also hier erstmal entspannt zurücklehnen.
Ich finde es schrecklich wie sich Citrix hier verhält – nämlich indem sie quasi gar nichts sagen. Es entsteht mir der Eindruck Citrix hält die Angelegenheit für erledigt dadurch dass sie das Update herausgebracht haben. Ich finde von Citrix selbst keinerlei Hinweise wie man zuverlässig (!) überprüfen kann ob das System schon vor der Installation des Updates kompromittiert wurde. Dabei denke ich dass Citrix ja wissen muss wie der Angriff üblicherweise abläuft (und somit auch welche eindeuten Spuren z. B. in Logfiles etc. zu finden sind), denn sie haben ja schließlich mit einem Update das Problem behoben. Diese an verschiedenen Stellen beschriebene Suche nach Zeitstemplen von Dateien kann doch nicht die offizielle Suche nach IOCs sein.
Also dass die Produkte von Citrix schlechter sind als die von der Konkurrenz möchte ich nicht sagen weil es immer wieder irgendwo Sicherheitsprobleme gibt, aber wie Citrix sich hier verhält denke ich werden sich die ein oder anderen Admins und Entscheider schon merken.
Ja, diese sog."Notfall Doku" ist sehr wichtig und muss schnell verfügbar sein. Es muss damit auch geübt werden.
Aber warum sollte man sie machen?
Es kostet Zeit, ist vollkommen unproduktiv da nur mehr Papier,
setzt sich dem Risiko aus, das einem Kollegen auffällt was für einen Unsinn man da macht und man macht sich entbehrlich.
Ich kenne Fälle wo diese Notfall Doku gemacht wurde.
Letztlich hatte das zur Folge daß das ganze System hervorragend dokumentiert war.
Stell dir vor es ist Krieg und keiner geht hin.
Brauche ich mir nicht vorstellen. Das ist jeden Tag in vielen IT zu sehen…
Es gibt noch eine deutsche Anleitung die beschreibt wie man einen NetScaler auf einen Angriff überprüft. Ich stelle hier mal den Link rein, falls ihn jemand braucht:
https://www.deyda.net/index.php/de/2023/07/19/checkliste-fuer-netscaler-citrix-adc-cve-2023-3519/#comment-740