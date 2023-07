Zum Mittwoch dieser Woche hat Citrix Updates veröffentlicht, die Zero-Day-Lücken in Netscaler ADC und Gateway, ehemals Citrix ADC und Gateway, stopfen. Die Lücke wurde bereits ausgenutzt, bevor Patches dagegen bereitstanden. Daher sollten IT-Verantwortliche überprüfen, ob ihre Systeme bereits angegriffen wurden.

Cyberkriminelle sind bei der als Shitrix bekannt gewordenen Schwachstelle im Jahre 2019 öfter so vorgegangen, dass sie zunächst eine Backdoor nach einem Einbruch installiert haben. Die war dann auch nach dem Installieren der Patches aktiv und ermöglichte späteren Zugriff. Etwa bei einer Cyber-Erpressung nach einem Angriff auf die Universitätsklinik Düsseldorf gingen die Täter so vor.

Citrix-Schwachstelle: Hochgefährlich

Bei der Lücke CVE-2023-3519 handelt es sich um eine sogenannte Unauthenticated Remote Code Execution-Lücke in einem aus dem Internet erreichbaren Dienst. Das ist die aller oberste Gefahrenkategorie, da Angreifer mit einem entsprechenden Exploit innerhalb kürzester Zeit viele verwundbare Systeme angreifen und übernehmen können.

Eine Anleitung ist jetzt auf deyda.net erschienen, mit der sich die eigenen Citrix-Systeme auf Einbruchsspuren untersuchen lassen. Demnach lassen sich Angriffe nur über veränderte Datei-Zeitstempel erkennen. Die Zeitstempel ändern sich eigentlich nur mit den Netscaler-Updates, daher müssen Administratoren den Zeitpunkt der letzten Aktualisierung kennen. Dies lasse sich etwa am Datum der entpackten Installationspakete erkennen.

Nach einem Log-in mit ns-root oder einem anderen administrativen Zugang findet der Befehl shell ls -ll /var/nsinstall – etwa per SSH an der Kommandozeile ausgeführt – die entpackten Installationsdateien und damit deren Datum. Basierend darauf lassen sich modifzierte Dateien aufspüren, wobei auf das Datum ein Tag aufgeschlagen werden sollte: aus dem 19.07.2023 wird 20230720 für weitere Suchbefehle, hier "<Timestamp>" genannt, was manuell ersetzt werden muss:

shell

find /netscaler/ns_gui/ -type f -name *.php -newermt <Timestamp> -exec ls -l {} \;

find /var/vpn/ -type f -newermt <Timestamp> -exec ls -l {} \;

find /var/netscaler/logon/ -type f -newermt <Timestamp> -exec ls -l {} \;

find /var/python/ -type f -newermt <Timestamp> -exec ls -l {} \;

Das spürt veränderte Dateien auf, die unter Umständen Backdoor-Code oder Referenzen darauf enthalten. Das ist noch kein Beweis, aber ein Indiz für einen Einbruch. Die Anleitung liefert noch alternative Methoden in anderen Sprachen auf. Es seien auch Hinweise in den HTTP Fehlerprotokoll-Dateien zu finden, oder etwa in den Shell-Protokolldateien.

Die Anleitung liefert noch einige weitere Einbruchsindizien (Indicators of Compromise, IOCs), die IT-Verantwortliche möglichst bald abprüfen sollten. Weiter liefern die Autoren Tipps, wie Administratoren vorgehen sollten, wenn sich der Verdacht der Kompromittierung bestätigt.

(dmk)