logo

 
 
 
corner left-topcorner right-top
Login Veranstaltungen
Experten-Wissen auf höchstem Niveau
corner left-bottomcorner right-bottom

"Kritische Sicherheitslücke im Citrix ADC" - Blogbeitrag von Thomas Krampe

30. Januar 2020

Es ist jetzt kein Geheimnis mehr, dass Citrix Anfang des Jahres eine massive Sicherheitslücke im Citrix ADC (vormals NetScaler) bekanntgeben musste. Wobei dies leider nicht proaktiv von Citrix, sondern vom NIST mit der Nummer CVE-2019-19781 veröffentlicht wurde. Das NIST ist das National Institut of Standards and Technology in den USA und führt eine National Vulnerability Database in der es solche Sicherheitslücken, wenn sie dann entdeckt werden, veröffentlicht.

Citrix hat dann auch reagiert. Erstmal allerdings nur mit einem Workaround, der zwar die Sicherheitslücke nicht wirklich geschlossen hat, sondern lediglich ein aktives ausnutzen über bereits öffentlich verfügbare Exploits verhinderte (siehe Mitigation Steps for CVE-2019-19781). Zwischen dem 19.01. und 24.01.2020 veröffentlichte Citrix dann auch die entsprechenden Firmware Releases (CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance), die die Sicherheitslücke endgültig schließen.

Wir empfehlen an dieser Stelle allen Kunden die aktualisierte Firmware unverzüglich auf ihre Citrix ADC und SD-WAN WANOP System auszurollen.

Da aber bei vielen unserer Kunden immer noch die Unsicherheit besteht, ob die Systeme nun tatsächlich geschützt sind oder ob es vor der aktualisierten Firmware Angriffe auf die Systeme stattgefunden haben und eventuell bereits Schadcode auf den Systemen platziert wurde, haben wir in diesem Artikel unsere Best Practices zusammen geschrieben.

 

Das Exploit

Um zu testen, ob der Citrix ADC noch verwundbar ist, bedienen wir uns den gleichen Werkzeugen wie auch die “bösen Jungs”. Da wir ja nicht wirklich angreifen wollen, genügt uns ein einfaches Kommando.

curl -vk –path-as-is https://IP.Adresse.des.CitrixADC/vpn/../vpns/ 2>&1 | grep “You don’t have permission to access /vpns/” >/dev/null && echo “VULNERABLE:” || echo “MITIGATED:”

Das Ganze ist auf Github (GitHub - mpgn/CVE-2019-19781: CVE-2019-19781 - Remote Code Execution on Citrix ADC Netscaler exploit) erhältlich und zeigt erstmal nur, ob der Citrix ADC verwundbar ist. Wer sich aber auf die Suche macht, wird sicherlich auch einiges finden was deutlich mehr “Schaden” anrichten kann.

 

Wurde ich bereits angegriffen?

Es existieren mittlerweile einige Tools, die überprüfen ob das System bereits kompromittiert wurde. Ein Tool kommt dabei von Citrix und basiert auf Python, das zweite ist eine Sammlung von Shell Skripten die direkt auf dem Citrix ADC ausgeführt werden können und verdächtige Aktivitäten in ein Logfile schreiben.

An dieser Stelle sollte aber nicht unerwähnt bleiben, dass beide Skripte keine 100%ige Sicherheit bieten, sondern lediglich Anhaltspunkte für weitere Untersuchungen.

 

Unsere Empfehlung

Wenn ihre Citrix ADC oder SD-WAN WANOP Systeme ohne den Workaround beziehungsweise ohne die aktualisierte Firmware öffentlich im Internet erreichbar waren, ist die wahrscheinlich groß, dass bereits ein Angriff erfolgte. Auch wenn die ersten Angriffe (Anlegen von Cron Jobs oder zusätzlichen administrativen Benutzern) relativ einfach zu identifizieren waren, könnten mittlerweile auch Angriffe erfolgt sein, die sich nicht so einfach identifizieren lassen. Bei dem Betriebssystem eines Citrix ADC handelt es sich um eine angepasste Version von FreeBSD 8.4 (Release Datum 09.07.2013), dass bereits seit August 2015 nicht mehr offiziell unterstützt wird (Unsupported FreeBSD Releases). Unabhängig davon, wie stark diese Version von Citrix angepasst wurde, kann man sich sicher schnell vorstellen, welche Möglichkeiten sich einem gut gerüsteten Hacker hier noch bieten.

Wir empfehlen jedem Kunden seine komplette Citrix ADC Infrastruktur, auf Basis der neuen Firmware, neu aufzubauen. Dazu gehört nicht nur die Neuinstallation, sondern auch noch ein paar andere wichtige Schritte, die wir hier kurz zusammenfassen.

 

Zertifikate

Durch die Sicherheitslücke hatte ein Angreifer auch Zugriff auf die auf dem Citrix ADC gespeicherten Zertifikate sowie den dazugehörigen privaten Schlüssel. Gerade bei SAN bzw. Wildcard Zertifikaten, die noch auf anderen Systemen verwendet werden, stellt dies ein hohes Sicherheitsrisiko dar.

Wir empfehlen alle Zertifikate bei ihrer Zertifizierungsstelle als ungültig zu markieren (Certificate Revoke) und sich mit einem neuen Schlüsselpaar neue Zertifikate zu generieren und diese umgehend auf allen Systemen, welche die Zertifikate verwendenden, auszutauschen.

 

Neu Installation der Citrix ADC Systeme

Trotz der vorher erwähnten Scanner gibt es keine 100%ige Sicherheit und der Citrix ADC, als Zugang zu ihrer Infrastruktur, sollte frei von unguten Gefühlen sein.

Deshalb empfehlen wir zwingend, alle Systeme neu zu installieren.

Nur so können wir sicher sein, keine unentdeckte Hintertür in unser Netzwerk zu haben. Sicherlich ist das mit etwas Aufwand und Downtime verbunden, aber es ist auch keine unmögliche Aufgabe. Wir unterstützen Sie hier gern.

 

Passwörter ändern

Es versteht sich von selbst alle Passwörter umgehend zu ändern. Auch sollten die Citrix ADC Systeme im Active Directory integriert sein und nicht mit lokalen Passwörtern konfiguriert worden sein.

Selbst hier empfehlen wir, die Passwörter der Active Directory Accounts, die Zugriff auf den Citrix ADC haben, zu ändern.

 

Über uns

Bereits seit Bekanntwerden der Sicherheitslücke beraten und unterstützen wir eine Vielzahl unserer Kunden zum Thema CVE- 2019-19781.

Login Consultants ist Ihr Spezialist für den digitalen Arbeitsplatz. Bereits seit 15 Jahren beraten, implementieren und betreiben wir Desktop-Infrastrukturen, damit Ihre Mitarbeiter zu jeder Zeit und von jedem Ort Zugriff auf alle Anwendungen und Daten haben - und das mit maximaler Performance und höchsten Sicherheitsstandards. Wir sind ein internationales, herstellerunabhängiges IT-Beratungsunternehmen mit Niederlassungen in Deutschland, den Niederlanden und Belgien. Unser Ziel ist, High-End-IT-Lösungen auf einen dynamischen und schnell wachsenden Markt zu bringen und damit den Kunden die optimale Balance zwischen IT-Kontrolle und Endnutzer-Flexibilität zu bieten.

Webinar Aufzeichnungen

Windows 10: Modern Management mit VMware Workspace ONE

In diesem Webinar stellen wir die VMware Workspace ONE-Lösung vor, gehen auf die Herausforderungen des On-Premises & Cloud-basierten Betriebs ein und zeigen in einer Demo, wie man Microsoft Autopilot & App Deployment mit WS1 nutzt und vieles mehr.

Weiterlesen ...

What’s new with VMware – Update von der VMworld 2019

Unter dem Motto "Make your mark" wurden auf der VMworld 2019 Europe in Barcelona Neuigkeiten von OnPremise bis zur Cloud präsentiert. Sie konnten selbst nicht vor Ort sein? Kein Problem!

Weiterlesen ...

Webinar: Windows 10 Evergreening-as-a-Service

Windows 7 verliert im Januar 2020 den Support, so dass praktisch alle Kunden ihre Clientumgebung auf Windows 10 umgestellt haben müssen. Doch die Release Strategie von Windows 10 unterscheidet sich maßgeblich von Windows 7, denn es gibt praktisch alle sechs Monate eine neue Windows Version.

Weiterlesen ...

Ich sehe was, was du nicht siehst

Wussten Sie, dass es nach einem komplexen Angriff durchschnittlich sechs Monate dauert, bis eine Sicherheitsverletzung erkannt wird? In der Zwischenzeit verbringen Sicherheitsteams einen Großteil ihrer Zeit mit der Untersuchung von Sicherheitswarnungen.

Weiterlesen ...

Modernes Management - Reduktion der Kosten und Verbesserung der User Experience

In diesem Webinar zeigen den Weg zum modernen digitalen Arbeitsplatz. Außerdem stellen wir die Welt des modernen Managements vor über die bestehenden Grenzen hinweg und verdeutlichen den Wert dieses Wechsels für die IT Organisation, die Budgetplanung und vor allem die Möglichkeit einen attraktiven IT Arbeitsplatz anzubieten im Rennen um die besten Mitarbeiter.

Weiterlesen ...

Nachlese zur Citrix Synergy 2019 - So funktioniert die Zukunft

Wer die Nutzererfahrung für Ihre Mitarbeiter stets verbessern möchte, muss technologisch auf dem Laufenden bleiben. Die neuen Technologien vereinfachen die Wahl des Netzwerks, der Cloud oder der Geräte und sorgen für ein ganzheitliches Sicherheits-Framework, das über Endgeräte oder das Netzwerk hinausgeht und somit die Produktivität steigert, anstatt sie auszubremsen.

Weiterlesen ...

Kontextbasierte Sicherheit für digitale Arbeitsplätze

Bei der Bereitstellung des virtuellen Arbeitsplatzes reicht der rollenbasierte Ansatz nicht mehr aus, um die Anwendungen, Daten und Ressourcen des Benutzers zu steuern. Wie deviceTRUST die kontextbasierte Sicherheit ohne zusätzliche Infrastruktur und unabhängig von der verwendeten Remoting Technologie erhöht, erfahren Sie in unserem Webinar.

Weiterlesen ...

Kontextbasierte Sicherheit für digitale Arbeitsplätze

Wenn es um einen Arbeitsplatz der Zukunft geht, steht laut IDG-Studie die IT-Sicherheit in vielen Unternehmen weit oben auf der Agenda. Die Anforderungen an die Geräte mit einer flexiblen und ortsunabhängigen Nutzung wachsen kontinuierlich. Bei der Bereitstellung des virtuellen Arbeitsplatzes reicht dabei der rollenbasierte Ansatz nicht mehr aus, um die Anwendungen, Daten und Ressourcen des Benutzers zu steuern. Um den Sicherheits- und Compliance-Vorgaben entsprechenden Zugriff zu ermöglichen, müssen die Unternehmen darauf reagieren.

Weiterlesen ...

Change-Management im Jahr 2019

Durch die gesteigerte Geschwindigkeit, mit der Updates und Patches heute veröffentlicht werden, steigt der Druck in vielen IT Abteilungen. Denn Updates, wie z.B. Windows 10 können enorme Auswirkungen auf die Performance von virtualisierten Umgebungen haben. Egal ob XenApp oder XenDesktop, RDSH oder VMware Horizon - die Problematik ist immer die gleiche: Was macht das neuste W10/XenDesktop/Security Patch mit meiner Umgebung?

Weiterlesen ...

Die Kunst der effektiven und sicheren Peer-to-Peer Video Übertragung in Konzernen

Peer-to-Peer ist aufgrund der einfachen Implementierung und der reinen Software eine der am schnellsten wachsenden Videoverteilungstechnologien im Unternehmen. Aber wie viel wissen Sie über Peer-to-Peer und wie es funktioniert? Und welche Arten von Unternehmen können am meisten davon profitieren?

Weiterlesen ...

How to Ensure Great Citrix Digital Workspace Performance: Lessons from the Field

In a Citrix Environment, to achieve this, more than just VDA, a single pane of glass view of all your related services is essential. Have a look at the user, network components, backend server, active directory and so on.

Weiterlesen ...

Der digitale Arbeitsplatz - flexibel, sicher und direkt aus Ihrem Browser!

Sie sind überzeugt von den Vorteilen digitaler Arbeitsplätze aber die gängige Lösung von Citrix ist Ihnen zu teuer? Dann möchten wir Ihnen in unserem Webinar mit Awingu eine kostengünstige Alternative vorstellen. Awingu hat eine Software entwickelt, welche die Betriebsmobilität vereinfacht und auch alte, sonst inkompatible Applikationen öffnet.

Weiterlesen ...

Cyber-Threats 2019 - Schützen Sie sich rechtzeitig!

Mehr als 40% der Unternehmen geben zu, dass sie im Jahr 2018 mindestens einen Sicherheitsverstoß erlitten haben. Anspruchsvolle Cyber-Angriffe wie dateifreie oder skriptbasierte Angriffe, Hacking-Tools, verschleierte Malware und neuartige Ransomware sind der Überprüfung durch traditionelle Sicherheitslösungen entgangen. Erfahren Sie, wie Sie sich rechtzeitig schützen können.

Weiterlesen ...

Sicherheit geht auch einfach – Mobil arbeiten ohne MDM

Wie schnell können Sie eine Enterprise Mobility Lösung ausrollen? Wir schaffen es in 5 Minuten. Mit SecurePIM stellen wir Ihnen ein Container-Lösung vor, die hochsicher ist und sich mit den richtigen Voraussetzungen innerhalb von 5 Minuten einrichten lässt.  

Weiterlesen ...

Windows 10 - Vereinfachen Sie Ihr Update- und Change Management

Am 14. Januar 2020 wird Microsoft die Unterstützung für Windows 7 offiziell einstellen. Der Umstieg auf Windows 10 stellt Firmen vor die große Herausforderung, ihre Patch- und Updateprozesse zu überdenken, da die neuen Release-Zyklen von Windows 10 die Implementierungsprozesse und das bestehende Netzwerk erheblich belasten.

Weiterlesen ...

Ransomware sicheres Datamanagement – So schützen Sie ihr Backup!

Wussten Sie, dass Ransomware Attacken mit über 40% einen Großteil aller Malware Angriffe ausmacht (Quelle: Data Breach Investigations Report (DBIR) 2018)? Eine unbedacht geöffnete E-Mail kann dabei schnell zum Verhängnis werden und Daten infizieren. Werden diese Daten auf dem Backup System gespeichert, ist schnell die gesamte Sicherung hinfällig. Wir zeigen Ihnen in unserem Webinar, wie Sie Ihre Daten effektiv gegen Ransomware Attacken sichern.

Weiterlesen ...
  • dachser bw isource bw Delta Lloyd bw
  • phoenix pharma logo bw moeller group logo bw RV Logo bw
  • citrix microsoft vmware
  • loginvsi logo bw Nutanix bw Nexthink Logo SW
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok