Gehackte Citrix-Systeme mit Scanner aufspüren

Admins aufgepasst: Mit einem Scanner kann man nun prüfen, ob sich Citrix Application Delivery Controller (ADC), Gateway und SD-WAN WANOP Appliances bereits in den Händen von Hackern befinden. Das Tool wurde von Citrix und Fireeye entwickelt.

Mit dem auf Github verfügbaren Scanner kann man Appliances nacheinander auf Indicators of Compromise (IOC), also Hinweise auf eine Kompromittierung, durchsuchen. Eine parallele Nutzung ist Citrix zufolge nicht vorgesehen. Während des Scans hält das Tool Ausschau nach forensischen Daten und prüft beispielsweise Log-Dateien, ob es Zugriffe über die als "kritisch" eingestufte Sicherheitslücke (CVE-2019-19781) gibt oder gegeben hat.

Das Tool läuft direkt auf Appliances, kann aber auch Images von Citrix-Instanzen scannen. In einer Anleitung auf Github kann man nachlesen, wie das im Detail funktioniert und mit welchen Software-Versionen der Scanner kompatibel ist.

Jetzt handeln!

Da bereits seit Mitte Januar Attacken laufen, rät Citrix Admins dringend dazu, das Tool zu nutzen. Die Lücke ist bereits seit Dezember 2019 bekannt. Admins müssen Systeme über Workarounds absichern. Vor einigen Tagen sind erste Sicherheitsupdates erschienen. Weitere sollen Ende Januar folgen. Citrix hat ein weiteres Tool veröffentlicht, das prüft, ob die Sicherheitsupdates korrekt funktionieren.

Nutzen Angreifer die Sicherheitslücke erfolgreich aus, könnten sie auf Verzeichnisse zugreifen und unter Umständen sogar Schadcode ausführen. Wie Sicherheitsforscher von Fireeye in einem Beitrag festgehalten haben, hinterlassen Angreifer zum Teil Hintertüren, um so dauerhaften Zugang zu gehackten Systemen zu haben. Außerdem sollen Angreifer weitreichende Daten kopieren, die sie für weitere Angriffskampagnen nutzen könnten. (des)