{"id":227117,"date":"2020-01-17T11:22:03","date_gmt":"2020-01-17T10:22:03","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227117"},"modified":"2024-03-05T14:54:36","modified_gmt":"2024-03-05T13:54:36","slug":"achtung-weiterer-nachbesserungsbedarf-bei-citrix-netscaler","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/17\/achtung-weiterer-nachbesserungsbedarf-bei-citrix-netscaler\/","title":{"rendered":"Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/01\/17\/further-actions-required-for-citrix-netscaler-vulnerability\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Noch ein kurzer Sammelbeitrag f\u00fcr Administratoren, die den Citrix ADC (Application Delivery Controller, fr\u00fcher Netscaler) im Einsatz haben. Die Schwachstelle CVE-2019-19781 wird l\u00e4ngst ausgenutzt. Zudem sind weitere Schwachstellen und Backdoors bekannt geworden. Da noch keine Firmware-Updates vorliegen (kommen ab n\u00e4chste Woche), m\u00fcssen Betroffene nochmals ran und ggf. Ma\u00dfnahmen zur H\u00e4rtung gegen die Schwachstellen sowie zus\u00e4tzliche Pr\u00fcfungen zum Sicherstellen, dass die Instanzen nicht infiziert sind, durchf\u00fchren.<\/p>\n<p><!--more--><\/p>\n<h2>Das BSI warnt vor Schwachstelle CVE-2019-19781<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/b65c2b5ec5ae4af580cea4609a703c1c\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte ja bereits mehrfach vor der Schwachstelle CVE-2019-19781 hier im Blog gewarnt (siehe meine verlinkten Beitr\u00e4ge am Artikelende). Im Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/12\/24\/schwachstelle-in-citrix-produkten-gefhrdet-firmen-netzwerke\/\">Schwachstelle in Citrix Produkten gef\u00e4hrdet Firmen-Netzwerke<\/a> ist sogar ein Hinweis auf einen Scanner f\u00fcr die Schwachstelle zu finden. Eigentlich sollte man meinen, dass jeder Admin endlich gehandelt hat.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">CVE-2019-19781: Dem BSI liegen Meldungen vor, nach denen <a href=\"https:\/\/twitter.com\/hashtag\/Citrix?src=hash&amp;ref_src=twsrc%5Etfw\">#Citrix<\/a>-Systeme erfolgreich angegriffen werden. Wir rufen Anwender erneut dringend auf, die Workarounds von Citrix umgehend umzusetzen! <a href=\"https:\/\/twitter.com\/hashtag\/CitrixADC?src=hash&amp;ref_src=twsrc%5Etfw\">#CitrixADC<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/CitrixGateway?src=hash&amp;ref_src=twsrc%5Etfw\">#CitrixGateway<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Netscaler?src=hash&amp;ref_src=twsrc%5Etfw\">#Netscaler<\/a> Mehr Infos hier: <a href=\"https:\/\/t.co\/kHwPolBAgD\">https:\/\/t.co\/kHwPolBAgD<\/a><\/p>\n<p>\u2014 BSI (@BSI_Bund) <a href=\"https:\/\/twitter.com\/BSI_Bund\/status\/1217887780543614977?ref_src=twsrc%5Etfw\">January 16, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ist anscheinend nicht der Fall, denn das BSI sieht sich gem\u00e4\u00df obigem Tweet zu einer erneuten Warnung veranlasst. Dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) liegen zahlreiche Meldungen vor, nach denen Citrix-Systeme erfolgreich angegriffen werden. Das BSI ruft Anwender erneut dringend auf, die vom Hersteller Citrix bereitgestellten Workaround-Ma\u00dfnahmen umgehend auszuf\u00fchren und nicht auf die Sicherheitsupdates zu warten. Anwender, die die Workaround-Ma\u00dfnahmen bislang nicht umgesetzt haben, sollten zudem ihre direkt mit dem Internet verbundenen Citrix-Systeme auf eine wahrscheinliche Kompromittierung pr\u00fcfen.<\/p>\n<blockquote><p>Tipp: Blog-Leser Christian Demmerer hatte in <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/13\/exploit-fr-citrix-adc-netscaler-schwachstelle-cve-2019-19781\/#comment-83010\">diesem Kommentar<\/a> darauf hingewiesen, dass die von Citrix empfohlenen Gegenma\u00dfnahmen zum Entsch\u00e4rfen der Schwachstelle bei einigen Firmware-Versionen nicht funktionieren. Es gibt einen Bug und Christian beschreibt eine L\u00f6sung.<\/p>\n<p>Achtung: Die Kollegen bei Bleeping Computer weisen in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/dutch-govt-suggests-turning-off-citrix-adc-devices-mitigations-may-fail\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> auf eine <a href=\"https:\/\/www.ncsc.nl\/actueel\/nieuws\/2020\/januari\/16\/door-citrix-geadviseerde-mitigerende-maatregelen-niet-altijd-effectief\" target=\"_blank\" rel=\"noopener noreferrer\">Empfehlung<\/a> der niederl\u00e4ndischen Sicherheitsbeh\u00f6rden hin, nach denen der Citrix ADC\/Netscaler au\u00dfer Betrieb genommen werden sollte, bis Patches verf\u00fcgbar seien. Die Workarounds von Citrix sollen nicht bei allen Ger\u00e4te gegen Angriffe helfen. Das betrifft aber das in obigem Tipp von Christian Demmerer angesprochende Problem der veralteten Firmware auf einigen Ger\u00e4ten.<\/p><\/blockquote>\n<h2>Neue Pr\u00fcfungen erforderlich!<\/h2>\n<p>Blog-Leser Puchte weist in <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/13\/exploit-fr-citrix-adc-netscaler-schwachstelle-cve-2019-19781\/#comment-83164\">diesem Kommentar<\/a> darauf hin, dass man beim Citrix NetScaler eine zus\u00e4tzliche Schwachstelle in 2 HTTP-Headern entdeckt habe. Seit erste Proof of Concept (PoC) Exploits ver\u00f6ffentlicht wurden, werden Angriffe auf den Citrix ADC festgestellt.<\/p>\n<p><a href=\"https:\/\/isc.sans.edu\/diaryimages\/images\/Screen%20Shot%202020-01-11%20at%2010_20_51%20AM.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Honeypot Detects per Hour (Citrix ADC)\" src=\"https:\/\/isc.sans.edu\/diaryimages\/images\/Screen%20Shot%202020-01-11%20at%2010_20_51%20AM.png\" alt=\"Honeypot Detects per Hour (Citrix ADC)\" width=\"621\" height=\"283\" \/><\/a><br \/>\n(Citrix ADC Honeypot Detects per Hour, Quelle: <a href=\"https:\/\/isc.sans.edu\/diaryimages\/images\/Screen%20Shot%202020-01-11%20at%2010_20_51%20AM.png\">SANS<\/a>)<\/p>\n<p>Obige Grafik zeigt die Zunahme der Angriffsversuche, die von einem Honypot aufgezeichnet werden. Dabei ist bei einer Analyse aufgefallen, dass zwei bekannte Exploits Dateien in folgenden Verzeichnissen hinterlassen:<\/p>\n<p>\/var\/tmp\/netscaler\/portal\/templates<br \/>\n\/netscaler\/portal\/templates<\/p>\n<p>Es gibt aber wohl einen Bot, der versucht die XML-Dateien zu l\u00f6schen. Das SANS-Institut beschreibt <a href=\"https:\/\/web.archive.org\/web\/20210120074612\/https:\/\/isc.sans.edu\/forums\/diary\/Citrix+ADC+Exploits+are+Public+and+Heavily+Used+Attempts+to+Install+Backdoor\/25700\/I%E2%80%99ve\" target=\"_blank\" rel=\"noopener noreferrer\">hier die Details<\/a>. In Kurz: Wenn ihr Citrix ADC\/Netscaler administriert und die bisherigen, von Citrix vorgeschlagenen Workarounds noch nicht angewandt habt, k\u00fcmmert euch dringend drum.<\/p>\n<p>Zus\u00e4tzlich sollten alle Administratoren des Citrix ADC\/Netscaler pr\u00fcfen, ob diese nicht bereits kompromittiert sind und die <a href=\"https:\/\/web.archive.org\/web\/20210120074612\/https:\/\/isc.sans.edu\/forums\/diary\/Citrix+ADC+Exploits+are+Public+and+Heavily+Used+Attempts+to+Install+Backdoor\/25700\/I%E2%80%99ve\" target=\"_blank\" rel=\"noopener noreferrer\">hier <\/a>beschriebenen Dateien zu finden sind. Um verwundbare Systeme aufzusp\u00fcren, ist in der Shell des Citrix ADC\/Netscaler folgender Befehl einzugeben:<\/p>\n<blockquote><p><code>curl https:\/\/host\/vpn\/..\/vpns\/cfg\/smb.conf --path-as-is<\/code><\/p><\/blockquote>\n<p>Ein Antwortcode von 200 bedeutet, dass des Citrix ADC\/Netscaler verwundbar ist. Eine 403-Antwort zeigt an, dass der Workaround zum Abschw\u00e4chen des Bugs vorhanden ist. Eine 404-Antwort bedeutet wahrscheinlich, dass es sich nicht um ein Citrix ADC oder ein anderes anf\u00e4lliges System handelt. Lest aber die Hinweise in nachfolgendem Abschnitt<\/p>\n<h2>404 Exploit Not Found: FireEye findet eine Backdoor<\/h2>\n<p>Die Nacht bin ich noch auf <a href=\"https:\/\/twitter.com\/cglyer\/status\/1218010132996665345\" target=\"_blank\" rel=\"noopener noreferrer\">einen Tweet<\/a> von <a href=\"https:\/\/twitter.com\/cglyer\">Christopher Glyer<\/a> (Chief Security Architec beim Sicherheitsanbieter FireEye) gesto\u00dfen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">We found an unexpected development with the Citrix Netscaler vulnerability. A seemingly \"white knight\" who left a backdoor to deploy additional malware while keeping out other criminals.<br \/>\n<a href=\"https:\/\/t.co\/2kgcMGSosT\">https:\/\/t.co\/2kgcMGSosT<\/a><\/p>\n<p>\u2014 Christopher Glyer (@cglyer) <a href=\"https:\/\/twitter.com\/cglyer\/status\/1218010132996665345?ref_src=twsrc%5Etfw\">January 17, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Wird bei obigem Test der Code 404 Exploit Not Found zur\u00fcck gemeldet? Dann kann es sein, dass der Citrix ADC\/Netscaler bereits durch einen Bot besucht wurde. Nachdem die FireEye-Sicherheitsexperten dutzende von erfolgreichen Angriffsversuchen auf Citrix ADCs, bei denen die <a href=\"https:\/\/support.citrix.com\/article\/CTX267679\" target=\"_blank\" rel=\"noopener noreferrer\">Citrix-Schutzma\u00dfnahmen<\/a> zum Abschw\u00e4chen von CVE-2019-19781 nicht implementiert waren, analysiert haben, fielen mehrere Gruppen an Exploits auf. Dabei fiel ein 'Angreifer' aus der Reihe, da er eine zuvor noch nicht gesehene Nutzlast beim Angriff einsetzt. Er hat daf\u00fcr die Code-Familie NOTROBIN entwickelt.<\/p>\n<p>Ein Angreifer scannt das Internet wohl nach verwundbaren Citrix ADC\/Netscaler-Instanzen. Sobald er Zugang zu einem anf\u00e4lligen NetScaler-Ger\u00e4t erh\u00e4lt, bereinigt dieser Akteur bekannte Malware und setzt NOTROBIN ein, um nachfolgende Angriffsversuche zu blockieren!<\/p>\n<p>Im ersten Augenblick k\u00f6nnte man meinen: Oh, ein White Hat-Hacker, der gutes tut. Aber es ist nicht alles so, wie es scheint, denn die NOTROBIN-Nutzlast richtet eine Backdoor ein. Wer eine geheime Passphrase kennt, kann auf den Citrix ADC\/Netscaler zugreifen. FireEye glaubt, dass dieser Akteur im Stillen den Zugang zu Citrix ADC\/Netscaler -Ger\u00e4ten f\u00fcr eine sp\u00e4tere Kampagne sammeln k\u00f6nnte. Details zum Angriff und Hinweise, wie man feststellt, ob die Backdoor vorhanden ist, sind in <a href=\"https:\/\/www.fireeye.com\/blog\/threat-research\/2020\/01\/vigilante-deploying-mitigation-for-citrix-netscaler-vulnerability-while-maintaining-backdoor.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem FireEye-Blog-Beitrag<\/a> nachzulesen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/24\/schwachstelle-in-citrix-produkten-gefhrdet-firmen-netzwerke\/\">Schwachstelle in Citrix Produkten gef\u00e4hrdet Firmen-Netzwerke<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/03\/sicherheitsinformationen-3-1-2020\/\">Sicherheitsinformationen (3.1.2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/17\/achtung-weiterer-nachbesserungsbedarf-bei-citrix-netscaler\/\">Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/20\/patches-fr-citrix-adc-netscaler-11-1-12-0-verfgbar-19-1-2020\/\" rel=\"bookmark\">Patches f\u00fcr Citrix ADC\/Netscaler 11.1\/12.0 verf\u00fcgbar (19.1.2020)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein kurzer Sammelbeitrag f\u00fcr Administratoren, die den Citrix ADC (Application Delivery Controller, fr\u00fcher Netscaler) im Einsatz haben. Die Schwachstelle CVE-2019-19781 wird l\u00e4ngst ausgenutzt. Zudem sind weitere Schwachstellen und Backdoors bekannt geworden. Da noch keine Firmware-Updates vorliegen (kommen ab n\u00e4chste &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/17\/achtung-weiterer-nachbesserungsbedarf-bei-citrix-netscaler\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7843,7856,6664,4328],"class_list":["post-227117","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-citrix","tag-cve-2019-19781","tag-schwachstelle","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227117","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227117"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227117\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227117"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227117"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227117"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}