Kritische Sicherheitslücke CVE-2023-4966 (CitrixBleed) im NetScaler
Die Schwachstelle CVE-2023-4966 wird bereits aktiv ausgenutzt
+++++++++++++
Update 2024:
Die folgende Nachricht ist veraltet. Für neuste Nachrichten über Citrix NetScaler, klicken Sie bitte hier.
+++++++++++++
Wir wurden als Citrix-Partner gebeten, alle unsere Kunden erneut zu informieren, dass die Sicherheitslücke CVE-2023-4966 (CitrixBleed) aktuell aktiv ausgenutzt wird, um Sessions zu hijacken. Es wird dringend empfohlen nach dem Patchen die im → Blog erwähnten Schritte auszuführen.
Nächster Schritt nach dem Upgrade
Wenn Sie eine der im Sicherheitsbulletin aufgeführten betroffenen Builds verwenden, sollten Sie sofort ein Upgrade durchführen, indem Sie die aktualisierten Versionen installieren. Nach dem Upgrade empfehlen wir Ihnen, alle aktiven oder dauerhaften Sitzungen mit den folgenden Befehlen zu entfernen:
kill aaa session -all
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
clear lb persistentSessions
Hinweis: Bitte achten Sie beim Kopieren und Einfügen dieser Befehle darauf, dass die Formatierung erhalten bleibt.
Citrix-Empfehlungen für die Untersuchung von Angriffen auf CVE-2023-4966
-
Suchen Sie in den Überwachungs- und Sichtbarkeitstools Ihres Unternehmens nach verdächtigen Sitzungsmustern, insbesondere im Zusammenhang mit virtuellen Desktops, falls Sie diese konfiguriert haben.
-
Wenn Sie die NetScaler-Protokolle an einen Syslog-Server weiterleiten, überprüfen Sie diese auf "SSLVPN TCPCONNSTAT"-Protokolle, die nicht übereinstimmende "Client_ip"- und "Source"-IP-Adressen enthalten. Beachten Sie, dass es legitime Szenarien gibt, in denen dies vorkommen kann, z.B. ein Roaming-Benutzer.
-
Überprüfen Sie die 'SSLVPN TCPCONNSTAT'-Protokolle auf dieselbe 'Source'-IP-Adresse, die auf die Sitzungen mehrerer Benutzer zugreift (Sie können sich auf das Feld 'User' im Protokoll beziehen).
-
Wenn Sie Ihre eigene forensische Untersuchung auf einer ungepatchten Instanz durchführen, lesen Sie die NetScaler-Produktdokumentation zum Sammeln von Speicher-Snapshots des NSPPE-Prozesses. Beachten Sie, dass hierfür mindestens 5 GB Speicherplatz auf Ihrem NetScaler ADC benötigt werden, in manchen Konfigurationen auch mehr. Sie sollten diese Core-Dumps, die sich in /var/core befinden, anschließend entfernen, um zu vermeiden, dass die Partition, die für den normalen Betrieb benötigt wird, gefüllt wird. Eine sorgfältige Analyse der Speicher-Snapshots der ungepatchten Instanzen würde dabei helfen, festzustellen, ob es irgendwelche Ausbeutungsversuche gegeben hat.
Im → CISA Cybersecurity-Advisories AA23-325a vom 21.11.2023 wird auf die aktuelle Ausnutzung durch LockBit 3.0 Ransomware hingewiesen und es werden im Artikel weitere Hinweise zur Analyse der vor- und nachgelagerten Systeme wie Firewall und Server gegeben. Der Artikel basiert auf Informationen aus einem Einbruch bei der Firma Boing Distribution Inc. Ähnliche Angriffsmuster wurden in weiteren Umgebungen beobachtet.
Wir stehen Ihnen gerne für die Analyse Ihrer Umgebung zur Verfügung. Sollten Ihre Systeme noch nicht aktualisiert worden sein, wenden Sie sich direkt zeitnah an uns.