Skip to content
Menü schließen
Suche
CYBER SECURITY
WORKPLACE
NETWORK
DATA CENTER

Verschaffen Sie sich einen Überblick über unsere branchenübergreifenden IT-Services für den Mittelstand.

Zur Übersicht
CHECKS & AUDITS
CYBER SECURITY
INFRASTRUKTUR PROJEKTE
BERATUNG & KONZEPT

Verschaffen Sie sich einen Überblick über unsere branchenübergreifenden IT Services für den Mittelstand.

Zur Übersicht
HELPDESK & SUPPORT
KMU
IT-Services speziell für kleine und mittelständische Unternehmen.
IT SECURITY
NETZWERK
CLOUD
DATA CENTER
WORKPLACE & ENDGERÄTE

Verschaffen Sie sich einen Überblick über unsere IT-Services für den Mittelstand.

Zur Übersicht
Blog-Menü-Bild
Unser IT Blog
Bleiben Sie auf dem Laufenden und erhalten Sie regelmäßig neue Impulse zur Digitalen Transformation.
Zum Blog
ARBEITEN BEI MICHAEL WESSEL
Karriere_Stellenangebote
Jobs & Karriere
Aktuelle Stellenangebote
INFORMATIONEN & KONTAKT
Infotag
Deine Ausbildung bei uns
Jetzt informieren

Kritische Sicherheitslücke CVE-2023-4966 (CitrixBleed) im NetScaler

Die Schwachstelle CVE-2023-4966 wird bereits aktiv ausgenutzt

News vom 23.11.2023

Ein sofortiges Einspielen eines Updates ist notwendig!

Wir wurden als Citrix-Partner gebeten, alle unsere Kunden erneut zu informieren, dass die Sicherheitslücke CVE-2023-4966 (CitrixBleed) aktuell aktiv ausgenutzt wird, um Sessions zu hijacken. Es wird dringend empfohlen nach dem Patchen die im → Blog erwähnten Schritte auszuführen.

 

Nächster Schritt nach dem Upgrade

Wenn Sie eine der im Sicherheitsbulletin aufgeführten betroffenen Builds verwenden, sollten Sie sofort ein Upgrade durchführen, indem Sie die aktualisierten Versionen installieren. Nach dem Upgrade empfehlen wir Ihnen, alle aktiven oder dauerhaften Sitzungen mit den folgenden Befehlen zu entfernen:

kill aaa session -all

kill icaconnection -all

kill rdp connection -all

kill pcoipConnection -all

clear lb persistentSessions

Hinweis: Bitte achten Sie beim Kopieren und Einfügen dieser Befehle darauf, dass die Formatierung erhalten bleibt.

Citrix-Empfehlungen für die Untersuchung von Angriffen auf CVE-2023-4966

  • Suchen Sie in den Überwachungs- und Sichtbarkeitstools Ihres Unternehmens nach verdächtigen Sitzungsmustern, insbesondere im Zusammenhang mit virtuellen Desktops, falls Sie diese konfiguriert haben.

  • Wenn Sie die NetScaler-Protokolle an einen Syslog-Server weiterleiten, überprüfen Sie diese auf "SSLVPN TCPCONNSTAT"-Protokolle, die nicht übereinstimmende "Client_ip"- und "Source"-IP-Adressen enthalten. Beachten Sie, dass es legitime Szenarien gibt, in denen dies vorkommen kann, z.B. ein Roaming-Benutzer.

  • Überprüfen Sie die 'SSLVPN TCPCONNSTAT'-Protokolle auf dieselbe 'Source'-IP-Adresse, die auf die Sitzungen mehrerer Benutzer zugreift (Sie können sich auf das Feld 'User' im Protokoll beziehen).

  • Wenn Sie Ihre eigene forensische Untersuchung auf einer ungepatchten Instanz durchführen, lesen Sie die NetScaler-Produktdokumentation zum Sammeln von Speicher-Snapshots des NSPPE-Prozesses. Beachten Sie, dass hierfür mindestens 5 GB Speicherplatz auf Ihrem NetScaler ADC benötigt werden, in manchen Konfigurationen auch mehr. Sie sollten diese Core-Dumps, die sich in /var/core befinden, anschließend entfernen, um zu vermeiden, dass die Partition, die für den normalen Betrieb benötigt wird, gefüllt wird. Eine sorgfältige Analyse der Speicher-Snapshots der ungepatchten Instanzen würde dabei helfen, festzustellen, ob es irgendwelche Ausbeutungsversuche gegeben hat.

 

Im → CISA Cybersecurity-Advisories AA23-325a vom  21.11.2023 wird auf die aktuelle Ausnutzung durch LockBit 3.0 Ransomware hingewiesen und es werden im Artikel weitere Hinweise zur Analyse der vor- und nachgelagerten Systeme wie Firewall und Server gegeben. Der Artikel basiert auf Informationen aus einem Einbruch bei der Firma Boing Distribution Inc. Ähnliche Angriffsmuster wurden in weiteren Umgebungen beobachtet.

Wir stehen Ihnen gerne für die Analyse Ihrer Umgebung zur Verfügung. Sollten Ihre Systeme noch nicht aktualisiert worden sein, wenden Sie sich direkt zeitnah an uns.

Partnerlogo-Citrix

Ihr Ansprechpartner

Deniz-Ünal-Zuschnitt-Website-1-1

Deniz Ünal
Specialist Data Center

Sie wollen mehr zu dem Thema erfahren oder benötigen Unterstützung? - Dann nehmen Sie jetzt Kontakt auf

Füllen Sie gern dieses Kontaktformular aus, schreiben sie uns eine E-Mail an Kontakt@michael-wessel.de oder rufen Sie uns unter der +49 511 999 79 - 201  an.