31.10.2023 17:04
CVE-2023-4966 in Citrix NetScaler ADC und NetScaler Gateway wurde bereits als 0-day ausgenutzt
Uns wurde inzwischen von drei Organisationen in Österreich berichtet, dass Angreifer aufgrund der Sicherheitslücke im Citrix Server in ihren Systemen aktiv geworden sind, bevor Patches von Citrix verfügbar waren. Es wurden Befehle zur Erkundung des Systems und erste Schritte in Richtung lateral Movement beobachtet.
Wir gehen inzwischen von einer weitläufigen Ausnutzung dieses 0-days aus.
Timeline
- Ende August: Erste Exploitation laut Mandiant
- Die uns jetzt bekannten Fälle in Österreich starteten am 20. und 30. September bzw. am 7. Oktober
- 10. Oktober: Publikation des Patches von Citrix
- 25. Oktober: Veröffentlichung der Details, Start der Massenausnutzung
Auch bei optimaler Reaktion des Betriebsteams durch sofortiges Einspielen der Patches war man verwundbar. Wir empfehlen daher dringend eine Loganalyse um festzustellen, ob die eigenen Citrix-Server betroffen waren.
Technischer Hintergrund
Eine ohne Anmeldung erreichbare URL am Citrix Server lieferte auf kreative Anfragen auch Speicherbereiche zurück, in denen Session Cookies aktiver Sessions zu finden sind. Das Ganze erinnert an die Heartbleed-Schwachstelle in OpenSSL. Mithilfe dieser Cookies ist es Angreifern möglich, in bestehende Sessions einzusteigen. Es ist keine weitere Anmeldung nötig, damit wird auch eine Absicherung mittels 2. Faktor ausgehebelt.
Auswirkungen
Es geht nicht um Sessions zur Verwaltung von Citrix Servern, sondern um die Sessions für Remote Desktop, SSL-VPN, usw. von normalen Nutzern. Je nach Berechtigungen der übernommenen Session können Angreifer Befehle ausführen, unbefugt auf weitere Ressourcen im Netzwerk zugreifen, möglicherweise Anmeldedaten (z.B. Benutzernamen und Passwörter) stehlen, oder sich Zugriff zu weiteren Netzwerken verschaffen.
Vom Effekt her ist das vergleichbar mit wenn ein Mitarbeiter unterwegs eine Remote-Desktop / VPN Session aufbaut, und dann den Laptop offen liegen lässt.
Empfehlungen
Das Einspielen des Patches bringt keine Abhilfe für bereits abgegriffene Session-Cookies, daher ist neben dem Patchen auch ein Reset aller Sessions nötig.
Wir empfehlen dringend, die Logs der eigenen Citrix-Server auf maliziöse Reconnects zu untersuchen. In den Citrix Logs sind legitime Session-Reconnects nicht einfach von durch Angreifer übernommene Sessions zu unterscheiden. Wir haben ein Script geschrieben, welches mit einer einfachen Heuristik den manuellen Aufwand stark reduziert. Weitere Ideen zur Forensik und Information zu Post-Exploitation Aktivitäten finden sich in einem Blogpost von Mandiant.
Sollte eine Ausnutzung stattgefunden haben, empfehlen wir eine weiterführende forensische Untersuchung interner Systeme.
Sollten Sie eine Kompromittierung feststellen, bitten wir um Kontaktaufnahme.