Kritische Sicherheitslücke im Citrix ADC
Es ist jetzt kein Geheimnis mehr, dass Citrix Anfang des Jahres eine massive Sicherheitslücke im Citrix ADC (vormals NetScaler) bekanntgeben musste. Wobei dies leider nicht proaktiv von Citrix, sondern vom NIST mit der Nummer CVE-2019-19781 veröffentlicht wurde. Das NIST ist das National Institut of Standards and Technology in den USA und führt eine National Vulnerability Database in der es solche Sicherheitslücken, wenn sie dann entdeckt werden, veröffentlicht.
Citrix hat dann auch reagiert. Erstmal allerdings nur mit einem Workaround, der zwar die Sicherheitslücke nicht wirklich geschlossen hat, sondern lediglich ein aktives ausnutzen über bereits öffentlich verfügbare Exploits verhinderte (siehe Mitigation Steps for CVE-2019-19781). Zwischen dem 19.01. und 24.01.2020 veröffentlichte Citrix dann auch die entsprechenden Firmware Releases (CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance), die die Sicherheitslücke endgültig schließen.
Wir empfehlen an dieser Stelle allen Kunden die aktualisierte Firmware unverzüglich auf ihre Citrix ADC und SD-WAN WANOP System auszurollen.
Da aber bei vielen unserer Kunden immer noch die Unsicherheit besteht, ob die Systeme nun tatsächlich geschützt sind oder ob es vor der aktualisierten Firmware Angriffe auf die Systeme stattgefunden haben und eventuell bereits Schadcode auf den Systemen platziert wurde, haben wir in diesem Artikel unsere Best Practices zusammen geschrieben.
Das Exploit
Um zu testen, ob der Citrix ADC noch verwundbar ist, bedienen wir uns den gleichen Werkzeugen wie auch die “bösen Jungs”. Da wir ja nicht wirklich angreifen wollen, genügt uns ein einfaches Kommando.
curl -vk –path-as-is https://IP.Adresse.des.CitrixADC/vpn/../vpns/ 2>&1 | grep “You don’t have permission to access /vpns/” >/dev/null && echo “VULNERABLE:” || echo “MITIGATED:”
Das Ganze ist auf Github (GitHub – mpgn/CVE-2019-19781: CVE-2019-19781 – Remote Code Execution on Citrix ADC Netscaler exploit) erhältlich und zeigt erstmal nur, ob der Citrix ADC verwundbar ist. Wer sich aber auf die Suche macht, wird sicherlich auch einiges finden was deutlich mehr “Schaden” anrichten kann.
Wurde ich bereits angegriffen?
Es existieren mittlerweile einige Tools, die überprüfen ob das System bereits kompromittiert wurde. Ein Tool kommt dabei von Citrix und basiert auf Python, das zweite ist eine Sammlung von Shell Skripten die direkt auf dem Citrix ADC ausgeführt werden können und verdächtige Aktivitäten in ein Logfile schreiben.
- CVE-2019-19781 – Verification Tool
- GitHub – citrix/ioc-scanner-CVE-2019-19781: Indicator of Compromise Scanner for CVE-2019-19781
An dieser Stelle sollte aber nicht unerwähnt bleiben, dass beide Skripte keine 100%ige Sicherheit bieten, sondern lediglich Anhaltspunkte für weitere Untersuchungen.
Unsere Empfehlung
Wenn ihre Citrix ADC oder SD-WAN WANOP Systeme ohne den Workaround beziehungsweise ohne die aktualisierte Firmware öffentlich im Internet erreichbar waren, ist die wahrscheinlich groß, dass bereits ein Angriff erfolgte. Auch wenn die ersten Angriffe (Anlegen von Cron Jobs oder zusätzlichen administrativen Benutzern) relativ einfach zu identifizieren waren, könnten mittlerweile auch Angriffe erfolgt sein, die sich nicht so einfach identifizieren lassen. Bei dem Betriebssystem eines Citrix ADC handelt es sich um eine angepasste Version von FreeBSD 8.4 (Release Datum 09.07.2013), dass bereits seit August 2015 nicht mehr offiziell unterstützt wird (Unsupported FreeBSD Releases). Unabhängig davon, wie stark diese Version von Citrix angepasst wurde, kann man sich sicher schnell vorstellen, welche Möglichkeiten sich einem gut gerüsteten Hacker hier noch bieten.
Wir empfehlen jedem Kunden seine komplette Citrix ADC Infrastruktur, auf Basis der neuen Firmware, neu aufzubauen. Dazu gehört nicht nur die Neuinstallation, sondern auch noch ein paar andere wichtige Schritte, die wir hier kurz zusammenfassen.
Zertifikate
Durch die Sicherheitslücke hatte ein Angreifer auch Zugriff auf die auf dem Citrix ADC gespeicherten Zertifikate sowie den dazugehörigen privaten Schlüssel. Gerade bei SAN bzw. Wildcard Zertifikaten, die noch auf anderen Systemen verwendet werden, stellt dies ein hohes Sicherheitsrisiko dar.
Wir empfehlen alle Zertifikate bei ihrer Zertifizierungsstelle als ungültig zu markieren (Certificate Revoke) und sich mit einem neuen Schlüsselpaar neue Zertifikate zu generieren und diese umgehend auf allen Systemen, welche die Zertifikate verwendenden, auszutauschen.
Neu Installation der Citrix ADC Systeme
Trotz der vorher erwähnten Scanner gibt es keine 100%ige Sicherheit und der Citrix ADC, als Zugang zu ihrer Infrastruktur, sollte frei von unguten Gefühlen sein.
Deshalb empfehlen wir zwingend, alle Systeme neu zu installieren.
Nur so können wir sicher sein, keine unentdeckte Hintertür in unser Netzwerk zu haben. Sicherlich ist das mit etwas Aufwand und Downtime verbunden, aber es ist auch keine unmögliche Aufgabe. Wir unterstützen Sie hier gern.
Passwörter ändern
Es versteht sich von selbst alle Passwörter umgehend zu ändern. Auch sollten die Citrix ADC Systeme im Active Directory integriert sein und nicht mit lokalen Passwörtern konfiguriert worden sein.
Selbst hier empfehlen wir, die Passwörter der Active Directory Accounts, die Zugriff auf den Citrix ADC haben, zu ändern.
Über uns
Bereits seit Bekanntwerden der Sicherheitslücke beraten und unterstützen wir eine Vielzahl unserer Kunden zum Thema CVE- 2019-19781.
Orange Business ist Ihr Spezialist für den digitalen Arbeitsplatz. Bereits seit 15 Jahren beraten, implementieren und betreiben wir Desktop-Infrastrukturen, damit Ihre Mitarbeiter zu jeder Zeit und von jedem Ort Zugriff auf alle Anwendungen und Daten haben – und das mit maximaler Performance und höchsten Sicherheitsstandards. Wir sind ein internationales, herstellerunabhängiges IT-Beratungsunternehmen mit Niederlassungen in Deutschland, den Niederlanden und Belgien. Unser Ziel ist, High-End-IT-Lösungen auf einen dynamischen und schnell wachsenden Markt zu bringen und damit den Kunden die optimale Balance zwischen IT-Kontrolle und Endnutzer-Flexibilität zu bieten.