Citrix Sicherheitslücke – Dringender Handlungsbedarf für Unternehmen
Mitte Dezember 2019 wurde eine Sicherheitslücke in der Fernwartungssoftware Citrix entdeckt, die es Angreifern erlaubt, auf das lokale Netzwerk eines Unternehmens zuzugreifen. Tausende Rechner deutscher Unternehmen sind seitdem gefährdet. Hinzu kommt, dass im Netz bereits diverse Anleitungen kursieren, die es selbst Personen mit geringen IT-Kenntnissen ermöglichen, Zugang zu Servern von Unternehmen zu bekommen und dort schädlichen Code auszuführen.
Citrix schafft den digitalen Arbeitsplatz
Gemeinsam mit Microsoft stellt Citrix Cloud-Lösungen für einen sicheren digitalen Arbeitsplatz zur Verfügung. Der digitale Arbeitsplatz aus der Cloud mit Office365 und Citrix on Microsoft Azure ist in Unternehmen weit verbreitet: Krankenhäuser, Behörden, Finanz- und IT-Unternehmen nutzen Citrix-Anwendungen als VPN-Client, um ihren Mitarbeitern von jedem Gerät aus über das Internet den Terminalzugriff auf unternehmensinterne Anwendungen und damit das Arbeiten von Zuhause aus zu ermöglichen.
Vereinfacht erklärt, können sich Mitarbeiter im Homeoffice über Citrix auf die Softwareanwendungen ihres Unternehmens einwählen und damit genauso arbeiten, wie sie es von einem Rechner am Arbeitsplatz tun würden. An und für sich also ein mehr als praktisches Werkzeug in Zeiten der Digitalisierung. Was aber eigentlich für einen sicheren Zugriff auf Unternehmensanwendungen sorgen soll, wird plötzlich selbst zur Sicherheitslücke.
Zero-Day-Lücke ermöglicht Angriffe auf den Citrix Application Delivery Controller und das Citrix Gateway
Mitte Dezember kam es nämlich zu so etwas wie einem Super-GAU: In zahlreichen Citrix-Produkten wurde eine Schwachstelle aufgedeckt, über die Angreifer auf das lokale Netzwerk eines Unternehmens zugreifen können. Entdeckt wurde der Bug übrigens von Mikhail Klyuchnikov, Mitarbeiter des britischen Sicherheitsanbieters Positive Technologies. Er schätzte die Zahl der Firmen weltweit, die ein anfälliges Produkt einsetzen, im Dezember 2019 auf mehr als 80.000!
Der Hersteller selbst listet folgende Produkte auf, die von der Schwachstelle betroffen sind:
- Citrix ADC und Citrix Gateway version 13.0
- Citrix ADC und NetScaler Gateway version 12.1
- Citrix ADC und NetScaler Gateway version 12.0
- Citrix ADC und NetScaler Gateway version 11.1
- Citrix NetScaler ADC und NetScaler Gateway version 10.5
Demnach ist die Lücke in den Produkten Citrix Application Delivery Controller (ADC) und Citrix Gateway enthalten. Bei ADC handelt es sich um eine Form von Load-Balancing-Appliance, um Webanwendungen verlässlich zur Verfügung zu stellen. Citrix Gateway soll sicheren Zugriff auf beispielsweise SaaS- und Webanwendungen garantieren. Die Software wird von Unternehmen und von Netzbetreibern eingesetzt und sorgt für eine gleichmäßige Verteilung von Netzwerkauslastung, um Verzögerungen durch Lastspitzen zu vermeiden. Dadurch sind unter anderem Webdienste weniger anfällig für DDoS-Angriffe.
BSI stuft Sicherheitslücke „Shitrix“ als besorgniserregend ein
Die Sicherheitslücke, die in IT-Sicherheitskreisen schnell den Codenamen „Shitrix“ erhielt, ermöglicht das Ausführen von beliebigen Anwendungen aus der Ferne. Das Leck wurde von der amerikanischen IT-Sicherheitsbehörde NIST rasch als „critical“ eingestuft und auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, reagierte alarmiert: „Die Sicherheitslücken in Programmen des US-Softwareherstellers Citrix sind besorgniserregend“, so Schönbohm in der „Rheinischen Post“.
Datenreporter vom SWR haben die Schwachstelle Mitte Januar 2020 auf über 2000 deutschen Servern gefunden: Krankenhäuser, Bundes- und Landesbehörden, Kommunen, Kraftwerksbetreiber, Stadtwerke, Banken, Forschungseinrichtungen sowie mittlere Unternehmen und große Konzerne sind dabei gleichermaßen betroffen. Diese Schwachstelle ermöglicht es Angreifern, mithilfe von präparierten HTTP-/HTTPS-Anfragen aus den öffentlich zugänglichen Verzeichnissen der Webanwendung auszubrechen und auf interne Verzeichnisse zuzugreifen. Dies kann dazu führen, dass Angreifer Konfigurationsdateien auslesen, Dateien ablegen oder manipulieren oder eigenen Code ausführen.
Forscherteams veröffentlichen Exploit Proof-of-Concept
Anstatt allerdings umgehend einen Patch zur Verfügung zu stellen, schlug Citrix lediglich Konfigurationseinstellungen vor, mit denen Angriffe auf die anfälligen Produkte abgewehrt werden können. Wie unter anderem die Nachrichten-Website heise online unter Berufung auf Citrix Mitte Januar mitteilte, sollen Admins demnach ihre Systeme mit einem Workaround absichern! Das Problem: Der Workaround funktioniert nicht bei Citrix ADC Release 12.1 mit den älteren Firmwareversionen als 51.16/51.19 und 50.31. Wer diese Versionen einsetzt, sollte upgraden und anschließend den Workaround durchführen.
Während der Druck auf das Unternehmen bis Mitte Januar immer weiter stieg, doch zeitnah einen Patch für die kritische Zero-Day-Lücke zu veröffentlichen, haben zwei Forscherteams unabhängig voneinander Beispielcode für einen Exploit für die Schwachstelle veröffentlicht. Am 10. Januar veröffentlichten Forscher, die sich selbst Project Zero India nennen, einen Programmcode auf GitHub, mit dem sich die Schwachstelle ausnutzen und ein Angriff mit relativ wenig Aufwand durchführen lassen soll.
Nur wenige Stunden später folgte das Team von TrustedSec mit einem eigenen Beispielcode. Die Forscher von TrustedSec hatten ihr Skript nach eigenen Angaben schon einige Tage zuvor entwickelt, sich jedoch geweigert, den Proof-of-Concept öffentlich zu machen. Ursprünglich wollten sie den Code noch zurückhalten, damit Betroffene Zeit haben, ihre Systeme zu patchen. Mit der Veröffentlichung des Codes hofften sie schließlich, dass Unternehmen ihn nutzen könnten, um anfällige Geräte in ihren Systemen zu finden und anschließend dahingehend zu prüfen, ob die von Citrix vorgeschlagenen Konfigurationseinstellungen richtig umgesetzt wurden.
Citrix veröffentlicht Sicherheits-Patches
Am 19. Januar veröffentlichte Citrix nun endlich die ersten Patches für Citrix ADC 11.1 und 12.0 sowie Citrix Gateway. Weitere Updates für Application Delivery Controller 10.5, 12.1, 13 folgten am 22., 23. und 24. Januar. Inzwischen wurde auch Citrix SD-WAN WANOP gepatcht.
Wir können Ihnen hier nur dringend an Herz legen, die Sicherheits-Patches zügig zu installieren, um Ihre Systeme vor Angriffen zu schützen. Die schlechten Nachrichten reißen nämlich nicht ab: Wie der Online-Dienst ZDNet am Montag, 27. Januar, berichtete, haben Angreifer zwischenzeitlich bereits aktiv nach verwundbaren Systemen gesucht, mit dem Ergebnis, dass sich mindestens zwei Ransomware-Kampagnen gegen ungepatchte Citrix-Produkte richteten. Andere Hacker sollen Citrix-Geräte kapern und die Zugänge in Foren anbieten.
Aber zurück zu den Sicherheitsupdates: Wie Citrix mitteilt, gelten die Patches auch für Citrix ADC und Citrix Gateway Virtual Appliances (VPX), die auf ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP oder einer Citrix ADC Service Delivery-Appliance (SDX) gehostet werden. SVM unter SDX muss nicht aktualisiert werden.
Sicherheits-Patches installieren und Systeme inspizieren
Um die Sicherheits-Patches zu installieren, ist es erforderlich, zunächst alle Citrix ADC- und Citrix Gateway 11.1-Instanzen (MPX oder VPX) und alle Citrix ADC- und Citrix Gateway 12.0-Instanzen (MPX oder VPX) zu aktualisieren.
Sobald Sie die Patches installiert haben, inspizieren Sie die Systeme bitte gründlich, denn es gibt erste Berichte von FireEye (https://www.fireeye.com/blog/threat-research/2020/01/vigilante-deploying-mitigation-for-citrix-netscaler-vulnerability-while-maintaining-backdoor.html), nach denen Angreifer bereits Hintertüren eingerichtet haben: Über das Schlupfloch schieben Angreifer zu späteren Zeitpunkten beispielsweise Krypto-Miner und Erpressungstrojaner auf Systeme.
Gehackte Systeme aufspüren
Citrix und der Anbieter von Netzwerksicherheits-Software FireEye bieten ein gemeinsam entwickeltes Tool an, mit dem Besitzer von Citrix-Servern prüfen können, ob Ihre Appliances bereits gehackt wurden. Dieser Scanner wurde auf GitHub veröffentlicht (https://github.com/citrix/ioc-scanner-CVE-2019-19781/releases) und lässt sich lokal starten. Es scannt Appliances nacheinander und trägt Indicators of Compromise (IOC) zusammen. Während des Scans hält das Tool Ausschau nach forensischen Daten und prüft beispielsweise Log-Dateien, ob es Zugriffe über die als „kritisch“ eingestufte Sicherheitslücke (CVE-2019-19781) gibt oder gegeben hat.
Fazit
Patchen Sie Ihre Citrix-Anwendungen bitte schnellstmöglich. Könnten Angreifer die Schwachstelle nämlich erfolgreich ausnutzen, steht dem Zugriff auf Ihre Verzeichnisse nichts mehr im Weg. Anschließend könnten Dateien manipuliert und sogar Schadcode ausgeführt werden.
Die Sicherheitsupdates für alle betroffenen Systeme stehen zum Download bereit:
Schreibe einen Kommentar