Jetzt patchen! Erste Sicherheitsupdates für kritische Citrix-Lücke erschienen

mad.de · 20. Januar 2020, 10:03

Da Angreifer derzeit eine Lücke in Citrix ADC ausnutzen, sollten Admins die nun verfügbaren Patches umgehend installieren.

Offensichtlich arbeiten die Citrix-Entwickler aufgrund einer als kritische eingestuften Sicherheitslücke (CVE-2019-19781) in Application Delivery Controller (ADC), Gateway und SD-WAN WANOP Appliance rund um die Uhr: Nun sind früher als angekündigt Sicherheitsupdates erschienen. Bislang konnten Admins zur Absicherung nur einen Workaround befolgen.

Sicherheitsupdates installieren
Wie einem Blog-Beitrag von Citrix zu entnehmen ist, haben die Entwickler nun erste Sicherheitspatches fertiggestellt und veröffentlicht. Ab sofort kann man von ADC die abgesicherten Versionen 11.1 und 12.0 herunterladen.

In dem Beitrag spezifiziert Citrix, für welche Versionen und für welche Fälle die Updates helfen. So sollen sie auch für Gateway Virtual Appliances via beispielsweise Hyper-V oder Azure helfen. Außerdem kann man die Patches nur installieren, wenn man die Versionen 11.1.63.15 und 12.0.63.13 als Ausgangspunkt nutzt.

Die verbleibenden Sicherheitsupdates für Application Delivery Controller 10.5, 12.1, 13 und SD-WAN WANOP sollen am 24. Januar folgen.

Attacken auf Citrix-Lücke
Die kritische Sicherheitslücke sorgt bereits seit Mitte Dezember 2019 für Unruhe. Seitdem wird Admins nahegelegt, ihre Systeme über einen Workaround abzusichern. Dieser funktioniert aber nicht für alle Firmware-Versionen. Mitte Januar tauchte dann der erste Exploit-Code auf und Angreifer scannten aktiv nach verwundbaren Systemen. Kurz darauf fanden die ersten Attacken statt.

Können Angreifer die Schwachstelle erfolgreich ausnutzen, steht dem Zugriff auf Verzeichnisse nichts mehr im Weg. Anschließend könnten sie Dateien manipulieren und sogar Schadcode ausführen.

Quelle: Jetzt patchen! Erste Sicherheitsupdates für kritische Citrix-Lücke erschienen | heise online

Update 20.01.2020:

FireEye: Hacker sichert sich exklusiven Zugang zu anfälligen Citrix-Produkten

Seine Malware löscht jegliche andere Schadsoftware auf Citrix-Geräten. Sie verhindert auch weitere Angriffe von Dritten. Die Motive des Hackers sind nicht bekannt – FireEye vermutet jedoch keine guten Absichten. Citrix veröffentlicht indes die ersten Updates für die Zero-Day-Lücke.

FireEye warnt vor neuen Angriffen auf Citrix-Produkte, die von einer kurz vor Weihnachten bekannt gewordenen Zero-Day-Lücke betroffen sind. Mindestens ein Hacker versucht derzeit die Kontrolle über anfällige Citrix-Server zu übernehmen, indem er sich einen exklusiven Zugang zu den Geräten sichert und Attacken von anderen Angreifern abwehrt.

Der Hacker greift Citrix-Geräte aus dem Tor-Netzwerk heraus an. Er schleust dabei eine Schadsoftware ein, die FireEye als NotRobin bezeichnet. Sie soll zwei Aufgaben erfüllen: ein Hintertür zu der Citrix-Appliance einrichten und jegliche vorhandene andere Malware entfernen sowie Angriffe mit weiterer Malware auf den anfälligen Citrix-Host verhindern.

Unklar ist demnach, ob der Hacker gute oder böse Absichten verfolgt – wobei FireEye vermutet, dass es sich eben nicht um einen „modernen Robin Hood“, sondern einen Bösewicht handelt. Die Forscher gehen davon aus, dass jemand heimlich Zugänge zu NetScaler-Geräten sammelt, um sie bei einer künftigen Kampagne einzusetzen.

Seit rund einer Woche steht Cyberkriminellen Beispielcode für Exploits zur Verfügung, mit denen sich die Anfälligkeit mit der Kennung CVE-2019-19781 angreifen lässt – zumal Citrix der Bug schon länger bekannt ist. Das Unternehmen konnte bisher allerdings fast nur mit einer Behelfslösung reagieren, die inzwischen als zumindest teilweise wirkungslos eingestuft wird.

So rät die niederländische Cybersicherheitsbehörde NCSC Firmen und Organisationen seit Ende vergangener Woche, die betroffenen Citrix Application Delivery Controller und Citrix Gateway abzuschalten. Zuvor mussten ein Krankenhaus in Leeuwarden sowie die Gemeinde Zutphen nach Attacken auf Citrix-Produkte ihre Netzwerke vollständig und für mehrere Tage abschalten.

In einem gestern veröffentlichtenhttps://support.citrix.com/article/CTX267027 Update für sein Security Advisory nennt Citrix nun auch einen Zeitplan für die Bereitstellung von Patches. So werden sei Sonntag die neuen Firmwareversionen 11.1.63.15 und 12.0.63.13 für Citrix ADC und Citrix Gateway verteilt. Am 24. Januar sollen Patches für die Versionen 10.5, 12.1 und 13.0 folgen.

Quelle: FireEye: Hacker sichert sich exklusiven Zugang zu anfälligen Citrix-Produkten | ZDNet.de

HotPi · 21. Januar 2020, 19:47

Patchen ist angesagt 20.01.2020, 13:15 Uhr
Citrix liefert erste Updates für die kritische Sicherheitslücke
Citrix hat erste Updates für die kritische Sicherheitslücke geliefert. Da diese bereits ausgenutzt wird, sollten die Patches schleunigst installiert werden. Wie Melani mitteilt wurden bereits Schweizer Unternehmen infiziert.

Für die Sicherheitslücke (CVE-2019-19781) in Citrix ADC hat der Netzwerk-Spezialist nun endlich erste Sicherheitsupdates veröffentlicht. Das Leck wird als kritisch eingestuft, da es das Ausführen von beliebigen Anwendungen aus der Ferne ermöglicht. Verwundbar sind zudem Versionen von Citrix Gateway und Citrix SD-WAN WANOP.

Dem Unternehmen zufolge stehen permanente Fixes für die ADC-Versionen 11.1 und 12.0 bereit. In einem Blog-Beitrag – dort sind auch sämtliche Download-Links aufgeführt – liefert Citrix nähere Angaben dazu, welche Software-Versionen nun mit den ersten Patches abgesichert werden können. Auch wichtige Punkte zum Vorgehen beim Update-Vorgang werden erwähnt. Alle verbleibenden Sicherheits-Aktualisierungen sollen am 24. Januar nachgeliefert werden.

Schweizer Unternehmen betroffen

Zum Ende der letzten Woche gab es auch ein Update der Melde- und Analysestelle Informationssicherung (Melani). Sie hatte am 17. Januar laut eigenen Angaben Kenntnis von insgesamt 14 infizierten Unternehmen in der Schweiz. Die Anzahl der infizierten Server könnte aber noch steigen, wie es hiess. Man gehe davon aus, dass «sämtliche verwundbaren Systeme, welche den von Citrix empfohlenen Workaround bisher nicht eingespielt haben, infiziert sind». Die Experten der Melde- und Analysestelle empfahlen deshalb, wenn immer möglich die Citrix-Server herunterzufahren und Vorbereitungen zu treffen, damit der Citrix-Patch zeitnah eingespielt werden kann.

Citrix muss Kritik einstecken

Bis zur Veröffentlichung der ersten Sicherheitsupdates dauerte es nun ziemlich lange – dafür musste Citrix auch Kritik einstecken. Denn gefunden wurde das Leck in Citrix ADC bereits Mitte Dezember. Bei der Software handelt es sich um einen Netzwerk-Balancer. Dieser wird weltweit bei Unternehmen, aber auch bei Netzbetreibern eingesetzt. Citrix ADC soll für eine gleichmässige Verteilung von Netzwerkauslastung sorgen, um Verzögerungen durch Lastspitzen zu vermeiden – beispielsweise als Schutz vor DDos-Angriffen.

Quelle: Citrix liefert erste Updates für die kritische Sicherheitslücke - onlinepc.ch

mad.de · 23. Januar 2020, 14:06

Gehackte Citrix-Systeme mit Scanner aufspüren

Ab sofort können Admins mit einem Tool prüfen, ob ihre Citrix-Systeme bereits kompromittiert sind.

Admins aufgepasst: Mit einem Scanner kann man nun prüfen, ob sich Citrix Application Delivery Controller (ADC), Gateway und SD-WAN WANOP Appliances bereits in den Händen von Hackern befinden. Das Tool wurde von Citrix und Fireeye entwickelt.

Mit dem auf Github verfügbaren Scanner kann man Appliances nacheinander auf Indicators of Compromise (IOC), also Hinweise auf eine Kompromittierung, durchsuchen. Eine parallele Nutzung ist Citrix zufolge nicht vorgesehen. Während das Scans hält das Tool Ausschau nach forensischen Daten und prüft beispielsweise Log-Dateien, ob es Zugriffe über die als "kritisch" eingestufte Sicherheitslücke (CVE-2019-19781) gibt oder gegeben hat.

Das Tool läuft direkt auf Appliances, kann aber auch Images von Citrix-Instanzen scannen. In einer Anleitung auf Github kann man nachlesen, wie das im Detail funktioniert und mit welchen Software-Versionen der Scanner kompatibel ist.

Jetzt handeln!
Da bereits seit Mitte Januar Attacken laufen, rät Citrix Admins dringend dazu, dass Tool zu nutzen. Die Lücke ist bereits seit Dezember 2019 bekannt. Admins müssen Systeme über Workarounds absichern. Vor einigen Tagen sind erste Sicherheitsupdates erschienen. Weitere sollen Ende Januar folgen. Citrix hat ein weiteres Tool veröffentlicht, das prüft, ob die Sicherheitsupdates korrekt funktionieren.

Nutzen Angreifer die Sicherheitslücke erfolgreich aus, könnten sie auf Verzeichnisse zugreifen und unter Umständen sogar Schadcode ausführen. Wie Sicherheitsforscher von Fireeye in einem Beitrag festgehalten haben, hinterlassen Angreifer zum Teil Hintertüren, umso dauerhaften Zugang zu gehackten Systemen zu haben. Außerdem sollen Angreifer weitreichende Daten kopieren, die sie für weitere Angriffskampagnen nutzen könnten.

Quelle: Gehackte Citrix-Systeme mit Scanner aufspüren | heise online

Citrix veröffentlicht weitere Patches für kritische Zero-Day-Lücke

Es liegen nun für fast alle Produkte Updates vor. Heute Abend soll der letzte Patch für Citrix ADC und Citrix Gateway folgen. Zwei Updates stellt Citrix sogar früher als geplant zum Download bereit.

Citrix hat weitere Patches für die seit Dezember bekannte Zero-Day-Lücke CVE-2019-19781 veröffentlicht. Sie stehen für Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP zur Verfügung. Allerdings steht weiterhin für eine Firmware-Version eine Aktualisierung aus.

Bereits am Mittwoch begann Citrix mit der Verteilung des ADC Release 11.11.51.615 für Citrix SD-WAN WANOP. Sie ersetzt die Versionen 10.2.6b und 11.0.3b. Das Update hatte das Unternehmen am Wochenende für Mittwoch angekündigt.

Einen Tag früher als geplant folgten gestern Abend Updates für die Versionen 12.1 und 13.0 von Citrix ADC und Citrix Gateway. Betroffene Nutzer sollten die neuen Builds 12.1.55.18 beziehungsweise 13.0.47.24 herunterladen und installieren.

Bereits am 19. Januar hatte Citrix die Versionen 11.1 und 12.0 von Citrix ADC und Citrix Gateway gepatcht. Es waren die ersten Sicherheitsupdates für die kurz vor Weihnachten öffentlich gemachte Schwachstelle.

Heute Abend soll nun der letzte Fix folgen. Das neue Build 10.5.70.x soll dann die Zero-Day-Lücke auch in der Version 10.5 von Citrix ADC und Citrix Gateway schließen.

Vor rund zwei Wochen hatten Sicherheitsforscher den Druck auf Citrix deutlich erhöht. Zwei Forscherteams veröffentlichten unabhängig von einander Beispielcode für Exploits, mit denen sich die Lücke angreifen lässt. Zuvor waren Forscher noch davon ausgegangen, dass die Entwicklung einer Schadsoftware möglich, aber unwahrscheinlich ist, weil zu wenige Personen die dafür benötigten Details der Schwachstelle kennen.

In der vergangenen Woche fand FireEye zudem Angriffe eines Hackers, der sich mithilfe der ungepatchten Schwachstelle einen exklusiven Zugang zu anfälligen Citrix-Produkten verschaffte. Er richtete nicht nur eine Hintertür auf den Geräten ein, sondern entfernte auch möglicherweise vorhanden Malware und verhinderte sogar die Installation weiterer Schadprogramme. Auch wenn die Absichten des Hackers zu dem Zeitpunkt nicht klaren waren, vermutete FireEye letztlich keine edlen Motive.

Betroffene Nutzer sollten die jetzt verfügbaren Patches schnellstmöglich installieren, um den Wettlauf mit Cyberkriminellen für sich zu entscheiden. Zumal es Hinweise darauf gibt, dass die von Citrix bisher empfohlenen Workarounds nicht immer zuverlässig funktionieren.

So rät die niederländische Cybersicherheitsbehörde NCSC Firmen und Organisationen seit Ende vergangener Woche, die betroffenen Citrix Application Delivery Controller und Citrix Gateway abzuschalten. Zuvor mussten ein Krankenhaus in Leeuwarden sowie die Gemeinde Zutphen nach Attacken auf Citrix-Produkte ihre Netzwerke vollständig und für mehrere Tage abschalten.

Quelle: Citrix veröffentlicht weitere Patches für kritische Zero-Day-Lücke | ZDNet.de

Update 27.02.2020:

Gefährliche Sicherheitslücke: Alle Updates für Citrix-Schwachstelle erschienen

Admins können nun alle betroffenen Citrix-Systeme patchen. Problematisch ist, dass einige Angreifer eine Backdoor hinterlassen.

Über einen Monat nach Bekanntwerden der kritischen Sicherheitslücke (CVE-2019-19781) in Citrix Application Delivery Controller (ADC), Gateway und SD-WAN WANOP Appliances sind nun alle Sicherheitsupdates erschienen. Admins sollten diese zügig installieren. Anschließend sollten sie Systeme gründlich inspizieren, da es Berichten zufolge von Angreifern eingerichtete Hintertüren gibt.

Eine Ausnutzung der Schwachstelle ist aus der Ferne und ohne Authentifizierung möglich. Ist eine Attacke erfolgreich, könnten Angreifer Schadcode ausführen. Einige Wochen lang gab es nur einen Workaround, mit dem Admins betroffene Systeme absichern konnten. Die Sicherheitsupdates erschienen dann nach und nach. Nun sind Patches für alle betroffenen Systeme verfügbar:

- Citrix Application Delivery Controller
- Citrix Gateway
- Citrix SD-WAN WANOP

Angreifer nisten sich ein
Um die Sicherheit zu wahren, ist die Installation der Updates obligatorisch. So sind die Systeme vor künftigen Angriffen auf die Lücke geschützt. Waren Angreifer aber bereits aktiv, könnte eine Hintertür bestehen bleiben, warnen Sicherheitsforscher von Fireeye in einem Bericht. Über das Schlupfloch schieben Angreifer zu späteren Zeitpunkten beispielsweise Krypto-Miner und Erpressungstrojaner auf Systeme.

Um Hinweise auf eine Kompromittierung zu finden, können Admins einen jüngst veröffentlichten Scanner nutzen. Das Tool kann man lokal starten. Es scannt Appliances nacheinander und trägt Indicators of Compromise (IOC) zusammen. Eine parallele Nutzung des Scanners ist Citrix zufolge nicht vorgesehen. Neben Appliances kann man damit auch Images von Citrix-Instanzen scannen.

Quelle: Gefährliche Sicherheitslücke: Alle Updates für Citrix-Schwachstelle erschienen | heise online

Teilen