Citrix-Zero-Days: Angriffsspuren auf Netscaler ADC und Gateway aufspüren

Zum Mittwoch dieser Woche hat Citrix Updates veröffentlicht, die Zero-Day-Lücken in Netscaler ADC und Gateway, ehemals Citrix ADC und Gateway, stopfen. Die Lücke wurde bereits ausgenutzt, bevor Patches dagegen bereitstanden. Daher sollten IT-Verantwortliche überprüfen, ob ihre Systeme bereits angegriffen wurden. Jetzt hat auch die US-Cyber-Sicherheitsbehörde CISA Erläuterungen zu den stattfindenden Angriffen und potenzieller Gegenmaßnahmen geliefert.

Cyberkriminelle sind bei der als Shitrix bekannt gewordenen Schwachstelle im Jahre 2019 öfter so vorgegangen, dass sie zunächst eine Backdoor nach einem Einbruch installiert haben. Die war dann auch nach dem Installieren der Patches aktiv und ermöglichte späteren Zugriff. Etwa bei einer Cyber-Erpressung nach einem Angriff auf die Universitätsklinik Düsseldorf gingen die Täter so vor.

Citrix-Schwachstelle: Hochgefährlich

Bei der Lücke CVE-2023-3519 handelt es sich um eine sogenannte Unauthenticated Remote Code Execution-Lücke in einem aus dem Internet erreichbaren Dienst. Das ist die aller oberste Gefahrenkategorie, da Angreifer mit einem entsprechenden Exploit innerhalb kürzester Zeit viele verwundbare Systeme angreifen und übernehmen können.

Eine Anleitung ist jetzt auf deyda.net erschienen, mit der sich die eigenen Citrix-Systeme auf Einbruchsspuren untersuchen lassen. Demnach lassen sich Angriffe nur über veränderte Datei-Zeitstempel erkennen. Die Zeitstempel ändern sich eigentlich nur mit den Netscaler-Updates, daher müssen Administratoren den Zeitpunkt der letzten Aktualisierung kennen. Dies lasse sich etwa am Datum der entpackten Installationspakete erkennen.

Nach einem Log-in mit ns-root oder einem anderen administrativen Zugang findet der Befehl shell ls -ll /var/nsinstall – etwa per SSH an der Kommandozeile ausgeführt – die entpackten Installationsdateien und damit deren Datum. Basierend darauf lassen sich modifzierte Dateien aufspüren, wobei auf das Datum ein Tag aufgeschlagen werden sollte: aus dem 19.07.2023 wird 20230720 für weitere Suchbefehle, hier "<Timestamp>" genannt, was manuell ersetzt werden muss:

shell
find /netscaler/ns_gui/ -type f -name *.php -newermt <Timestamp> -exec ls -l {} \;
find /var/vpn/ -type f -newermt <Timestamp> -exec ls -l {} \;
find /var/netscaler/logon/ -type f -newermt <Timestamp> -exec ls -l {} \;
find /var/python/ -type f -newermt <Timestamp> -exec ls -l {} \;

Das spürt veränderte Dateien auf, die unter Umständen Backdoor-Code oder Referenzen darauf enthalten. Das ist noch kein Beweis, aber ein Indiz für einen Einbruch. Die Anleitung liefert noch alternative Methoden in anderen Sprachen auf. Es seien auch Hinweise in den HTTP Fehlerprotokoll-Dateien zu finden, oder etwa in den Shell-Protokolldateien.

Die Anleitung liefert noch einige weitere Einbruchsindizien (Indicators of Compromise, IOCs), die IT-Verantwortliche möglichst bald abprüfen sollten. Weiter liefern die Autoren Tipps, wie Administratoren vorgehen sollten, wenn sich der Verdacht der Kompromittierung bestätigt.

CISA erklärt Zero-Day-Angriffe

Die US-amerikanische Cyber-Sicherheitsbehörde CISA hat jetzt eine eigene Sicherheitsmeldung zu den Citrix-Angriffen vorgelegt. Demnach haben Cyberkriminelle bereits im Juni dieses Jahres die Schwachstelle als Zero-Day-Lücke ausgenutzt, um eine Webshell auf einer verwundbaren Netscaler-ADC-Appliance bei einer KRITIS-Organisation einzurichten. Mit der Webshell gelang es den Angreifern, das Active Directory (AD) der Opfer auszuforschen sowie Daten davon zu sammeln und auszuschleusen. Schließlich wollten die bösartigen Akteure sich "lateral im Netz bewegen" und auf einen Domänencontroller einbrechen, was die Netzwerksegmentierung jedoch verhinderte. Nach der Entdeckung des Einbruchs meldete die betroffene Organisation den Vorfall der CISA und Citrix. Citrix veröffentlichte dann am 18. Juli 2023 einen Patch für diese Sicherheitslücke.

Das CISA-Advisory erläutert detailliert, wie die Angreifer vorgegangen sind und welche Dateien sie etwa eingeschleust haben. IT-Verantwortliche mit Citrix/Netscaler ADC und Gateways sollten die Hinweise lesen und ihre Systeme auf die aufgeführten Spuren (IoCs) prüfen.

(dmk)