Zuletzt überarbeitet am 27.1.2020
Die Technischen Detaills
Was passiert ist:
Citrix Systems hat am 17.12.2019 eine Warnmeldung bezüglich einer Sicherheitslücke
in allen Citrix ADC- und Gateway-Plattformen veröffentlicht.
Die Sicherheitslücke, bekannt als „#shitrix“ wurde mittlerweile über Medien und Fernsehen verbreitet und stellt für Systeme ein sehr ernstes Risiko dar.
Am Freitag den 10.1.2020 wurden mehrere funktionierende Werkzeuge veröffentlicht mit deren Hilfe Attacken durchgeführt werden können.
Seit deren Veröffentlichung hat die Anzahl an registrierten Attacken dramatisch zugenommen.
Die meisten dieser Attacken werden mit Tools durchgeführt mit denen es zwar gelingt Dateien auf den ADC hochzuladen, die aber ansonsten wenig Schaden anrichten.
Was tun?
Da viele Systeme die bis zum heutigen Tag noch nicht abgesichert wurden tatsächlich gehackt wurden besteht dringender Bedarf bei allen Betreibern eines Citrix ADC zu analysieren ob Sie betroffen sind und Gegenmassnahmen einzuleiten.
Auf jeden Fall sollten auch Systeme mit den vorhandenen Gegenmassnahmen einer eingehenden Überprüfung unterzogen werden.
Da die Schwachstelle schon seit längerem bekannt ist könnte die Umgebung schon vor längerer Zeit Kompromittiert worden sein.
Mittlerweile gibt es einen Workaround um die Schwachstelle zu schliessen.
Für alle Citrix ADC wurde eine neue Version mit Security Fix zum Download bereitgestellt.
Was tun wenn der Verdacht einer Kompromittierung besteht?
Im Idealfall Kontaktieren Sie den Citrix ADC Experten Ihres Vertrauens m zu Überprüfen was passiert ist und um Schäden zu beheben.
Sollten Sie den Verdacht haben, dass Ihre Infrastruktur kompromittiert wurde, sollten auf jeden Fall Maßnamen ergriffen werden.
Die möglichen zu ergreifenden Massnahmen können aus heutiger Sicht in 3 Stufen unterteilt werden:
- Stufe 1; Kann ich betroffen sein?
Lassen Sie von Professionellen Technikern überprüfen ob Sie überhaupt betroffen sein können. - Stufe 2; Ich bin mir nicht sicher oder bin Betroffen! Schritte die auf jeden Fall gegangen werden sollten:
- Lassen Sie die Sicherheitslücke on Professionellen Technikern schliessen
- Entfernen Sie jede Art Fremd Code der auf dem ADC hinterlegt wurde.
- Verhindern Sie auf Ihrer Firewall das Ihr ADC von sich aus ins Internet zugreifen kann
- Es besteht das Risiko das Ihre SSL Zertifikate kompromittiert wurden. Lassen Sie alle Zertifikate mit „neuen privaten Schlüsseldateien“ neu ausstellen und am ADC austauschen. Lassen sie alle alten Zertifikate revokieren damit diese nicht missbraucht werden können.
- We besteht ein Risiko das alle am ADC hinterlegten Kennwörter kompromittiert worden sind. Tauschen Sie alle hinterlegten Kennworte aus.
- Stufe 3; Ich bin mir nicht sicher oden bin Betroffen bin! Weitere Schritte um ganz sicher zu gehen:
- In bestimmten Fällen kann ein temporäres deaktivieren der Citrix ADC Dienste notwendig sein.
- In bestimmen Fällen kann eine Neuinstallation der ADC`s hilfreich sein oder muss durchgeführt werden
- In manchen Umgebungen in denen Sicherheit ein sehr kritisches Thema ist kann es notwendig sein die Festplatten der ADC`s auszutauschen oder die gesamte Hardware auszutauschen. Bitte wenden Sie sich hierzu an Citrix Support.
Wann wird die Sicherheitslücke behoben sein?
Citrix hat bezüglich der Sicherheitslücke CVE-2019-19781 Firmware Versionen released die die Sicherheitslücke schliessen.
Diese können auf der Citrix Download Webseite heruntergeladen und installiert werden.
Gerne helfen wir bei Analyse, Einschätzung und Behebung.
Gerne unterstütze ich Sie bei der weiteren Analyse und Fehlerbehebung.