Analyse und Incident Response CVE-2019-19781 (#citrixmash #shitrix)

Sowas passiert nur alle paar Jahre mal – eine Sicherheitslücke von solch drastischer Kritikalität. Das BSI hat denn auch die potenziellen Auswirkungen zunächst erheblich unterschätzt und den Fall als weit weniger kritisch bewertet als das US-amerikanische NIST. Inzwischen ist aber klar, dass der Fall es nicht umsonst bis in die Tagesschau geschafft hat.

Was wir wissen

  • Lücke ist seit Mitte Dezember bekannt, Citrix hat offiziell darüber informiert und Workarounds zum Schutz bereitgestellt
  • Für einen bestimmten Build (50.28) von Citrix ADC/Gateway (the artist formerly known as NetScaler) wirken die Workarounds aufgrund eines weiteren Bugs nicht – zusätzliche Maßnahmen oder ein Update auf einen halbwegs aktuellen Build von 12.1 sind erforderlich (siehe Citrix Artikel)
  • Citrix hat Updates zur Fehlerbehebung angekündigt, für die Versionen 11.1 und 12.0 sind diese Stand heute verfügbar, für weitere unterstützte Versionen sollen die Updates spätestens nächste Woche folgen
  • Seit der zweiten Januar-Woche wird die Lücke aktiv ausgenutzt, spätestens ab dieser Zeit konnten intensive Scans durch die ganze Welt beobachtet werden, die verwundbare Systeme identifiziert und vermutlich für spätere Angriffe dokumentiert haben
  • Nachdem die ersten weniger freundlichen Hacker ihren Exploit Code veröffentlicht haben, wurden weitere Skripte von gewissenhaften Security Experten veröffentlicht, da die Katze nun aus dem Sack war, die eigentlich noch zurückgehalten werden sollte
  • Auf einem verwundbaren System sind Spuren der Kompromittierung zu finden, so lange sich der Angreifer nicht sehr gründlich Mühe gibt, diese zu verwischen – und den nötigen Zugriff dafür erlangt hat
  • Falls keine Spuren zu finden sind, ist dies keine 100%-ige Garantie, dass nichts passiert ist
  • Bei den ersten Spuren sind insbesondere Zertifikate (Private Keys) auf den betroffenen Systemen als kompromittiert zu betrachten und sollten zurückgerufen und ausgetauscht werden
  • lokale Benutzer auf betroffenen Systemen sind insofern gefährdet als dass der Angreifer potenziell Hashes der Passwörter in seinen Besitz bringen konnte, die er nun versuchen kann in Ruhe per brute force zu enttarnen – Passwortwechsel sollten umgehend umgesetzt werden
  • Weiterhin sind auf dem betroffenen System konfigurierte Service Accounts für die interne Infrastruktur gefährdet und müssen als kompromittiert angesehen werden
  • Eine Neu-Installation betroffener Systeme sollte sowieso vorgenommen werden
  • Insbesondere falls keine Firewall vor dem betroffenen System ausgehende Verbindungen verhindert, kann der Angreifer sogar eine Remote Shell auf dem System erlangt haben. Von diesem Fuß in der Tür kann er alle darüber hinaus netzwerktechnisch erreichbaren Systeme ins Visier genommen haben – zusammen mit erlangten Informationen zu Service Accounts ein Silbertablett für weiteres Eindringen

Was wir tun

Nach der frühzeitigen Information und Unterstützung unserer Kunden im Dezember arbeiten wir seit einer Woche nunmehr in Eskalationen und Analysen bei zahlreichen Fällen mit. Dabei geht es immer um eine Kadenz von Maßnahmen:

  • Schutzstatus feststellen
  • Schutz ggf. herstellen
  • Kompromittierungsstatus feststellen
  • Isolation und Recovery ggf. einleiten
  • Mögliche Tiefe der Kompromittierung feststellen (was kann der Angreifer unmittelbar erlangt haben)
  • Mögliche Kompromittierungen weiterer Systeme analysieren (was kann der Angreifer ggf. über das direkt verwundbare System hinaus erreicht haben)

Das Ergebnis kann leider fast nie eine sichere Aussage der Art “es ist nichts passiert” sein. Dieser kann man sich nur anhand von Indizien annähern. Lediglich bei unmittelbar nach Bekanntwerden konsequent und korrekt implementierten Schutzmaßnahmen gehen wir von einer faktischen Unversehrtheit aus. In allen anderen Fällen muss eine Risikobewertung stattfinden, um die Tiefe und Ausführlichkeit zu bestimmen, in der analysiert und bereinigt werden muss.

Aufgrund der Menge an Fällen sind unsere Vorlaufzeiten zur umfassenden Bearbeitung neuer Anfragen aktuell im Bereich von Tagen. Die ersten Schritte in o.g. Kadenz können aber jederzeit im Bereich Same, maximal Next Business Day gegangen werden. Kommen Sie gerne auf uns zu.

Remote Desktop Services und vertraute Domains

Nutzt man die Remote Desktop Services von Windows Server 2012/2016/2019 und befindet sich zeitgleich in einer Multi-Domain- oder Multi-Forest-Umgebung, so wird man schnell feststellen, dass sich in den Assistenten zur Autorisierung von Benutzern und Gruppen ein Fehler eingeschlichen hat. Versucht man dort eine Gruppe hinzuzufügen, die sich nicht in derselben Domain befindet wie der Server von dem man die Konfiguration vornimmt, so bekommt man die folgende Fehlermeldung:

An diesem Punkt würde man normalerweise überprüfen, ob die Domain-Konnektivität so wie die Trusts in Ordnung sind, allerdings ist das in diesem Fall (wahrscheinlich) nicht das Problem.

Um diesen Schritt erfolgreich durchführen zu können, muss jede zu autorisierende Domain der DNS Suffix Search List auf einem beliebigen Netzwerk Adapter des aktuellen Verwaltungshosts (auf dem die Konsole ausgeführt wird), hinzugefügt werden.

Diese Konfiguration kann zum Beispiel wie folgt aussehen:

Security/Wireless: WPA2-KRACK-Leak

Wofür steht KRACK?

Die Abkürzung KRACK steht für Key Reinstallation Attack, was das Verfahren des Angriffs beschreibt.

Wie funktioniert der Angriff?

Wie einige von Ihnen vermutlich schon mitbekommen haben, ist jüngst eine schwerwiegende Sicherheitslücke in der Implementierung des WPA2-Standards bekannt geworden, die es Angreifern ermöglicht, den Encryption-Key für den Traffic​ innerhalb des 4-Way-Handshakes abzufangen, auszunullen und dadurch lesbar zu machen. „Security/Wireless: WPA2-KRACK-Leak“ weiterlesen

Nach Sicherheitsvorfall: Citrix stellt neue NetScaler Builds bereit

Es war ein beispielloses Szenario: Für mehrere Tage waren keinerlei Firmware-Versionen von Citrix NetScaler zum Download verfügbar, zurückgezogen aufgrund eines nicht näher spezifizierten “Issues”, der gefunden worden sei.

Die Verweise auf Best Practises und Secure Deployment Guides legten bereits nahe, dass ein Sicherheitsrisiko im Bereich des Management Access vorliegen dürfte. Dieser ist immer auf der NetScaler IP (NSIP) als der primärer Management-IP zugänglich und kann auf jeder Subnet IP (SNIP) ebenfalls aktiviert werden. Welcher Dienst genau betroffen sei (in Frage kamen SSH oder der Webserver für die GUI), war nicht erkennbar. In den allermeisten Deployments  jedoch dürfte der verwundbare Dienst ohnehin nur im Management-Netz erreichbar gewesen sein, gemäß Best Practises sogar nur für explizit berechtigte Admin-Arbeitsplätze. Insofern erschien die Maßnahme überraschend heftig, zu der Citrix mit dem Zurückziehen sämtlicher Builds griff.

Jetzt hat Citrix neue Builds der supporteten Versionen 10.1, 10.5, 10.5e, 11.0, 11.1 und 12.0 bereitgestellt. Im zugehörigen Security Bulletin ist nun auch ausgeführt, worum es sich handelt: Die Authentifizierung am Management Interface kann unter bestimmten Umständen umgangen werden, so dass Unbefugte administrativen Zugriff erlangen können.

Zeitnahe Updates sind dringend angeraten. Derweil die schon empfohlenen Best Practises zum sicheren Deployment. In allen Punkten unterstützen wir zahlreiche Unternehmen aktiv – kommen Sie gerne auf uns zu, wenn Sie Fragen haben.

NetScaler Gateway: SSL-VPN CCU Lizenzen: Limitierung verringert / aufgehoben

Citrix hat es endlich gewagt!

Wir haben schon lange in etlichen internen Runden darauf gedrängt, und auch die ersten positiven Signale (natürlich streng vertraulich) bereits im Sommer zurückbekommen. Und jetzt ist es endlich offiziell: Citrix lockert die SSL-VPN Lizenzierung auf. Bisher konnten wir trotz der Investition in Citrix NetScaler Standard oder Enterprise Lizenzen nur 5 Concurrent User SSL-VPN nutzen. Weitere User mussten separat per NetScaler Gateway Universal License lizenziert werden oder aus XenApp / XenDesktop Platinum übernommen werden. Einzig die NetScaler Platinum Lizenz hat 100 CCU SSL-VPN mitgebracht.

„NetScaler Gateway: SSL-VPN CCU Lizenzen: Limitierung verringert / aufgehoben“ weiterlesen