Shitrix – ein Zwischenfazit

Ende Dezember 2019 veröffentlichte die Firma Citrix ein "Security Bulletin", in dem vor unauthentifizierter Programmcodeausführung bei den NetScaler Gateways gewarnt wird und Absicherungsmaßnahmen empfohlen wurden. Bei zahlreichen Betreibern dieser Geräte – die meistens direkt aus dem Internet erreichbar sind, um Remote Access für Home-Office oder Außendienst zu realisieren – ist diese Meldung (identifizierbar als CVE-2019-19781) vermutlich untergegangen oder niedrig priorisiert zur Kenntnis genommen worden. Seit Mitte Januar 2020 wurden zahlreiche ungeschützte NetScaler-Installationen kompromittiert und auch außerhalb der IT- und IT Security-Medien wurde das als Shitrix (von Shit Citrix - Schei? Citrix) benannte Desaster thematisiert (u. a. in der Süddeutschen Zeitung und der Tagesschau).

Auch die Mitarbeiter der SySS GmbH aus dem Bereich "Digitale Forensik – Incident Response" (DFIR) waren vielfach tätig, um kompromittierte NetScaler Gateways zu analysieren. Im Rahmen dieser Analysen fanden sich u. a. von unbekannten Dritten installierte Crypto-Miner auf den Citrix-Systemen.

Analysen dieser Crypto-Miner finden sich beispielsweise im Internet Storm Center. An der Stelle sollte noch angemerkt werden, dass sich mittlerweile eine Vielzahl von Exploits findet und bei weitem nicht alle Angriffe (wie teilweise behauptet) ein "/../" in der URL verwenden. NetScaler-Systeme, die bis zum 10.01.2020 nicht gepatcht wurden bzw. auf denen kein Workaround installiert wurde, sollten dringend auf Angriffe bzw. auf Spuren einer Kompromittierung untersucht werden. Wir haben in unseren Untersuchungen ab dem 11.01.2020 keine nicht kompromittierten Systeme mehr gesehen.

Dabei hatte die SySS GmbH von einigen Betroffenen die Gelegenheit erhalten, die NetScaler-Appliances über den eigentlichen Sicherheitsvorfall hinaus zu analysieren. Die Kompromittierung der Geräte selbst erfolgte über eine uralte Art einer Sicherheitslücke, einen sogenannten Path Traversal-Angriff. Allerdings konnten darüber Perl-Skripte ausgeführt werden.
Diese bestätigten Eigenschaften zeigen bereits zahlreichen IT Security-Fachleuten an, dass konzeptionelle Defizite in den NetScaler-Appliances vorhanden sein müssen.

Auf den Appliances selbst werden neben Perl-Skripten auch Shell- und PHP-Skripte ausgeführt. Die verwendeten Interpreter von Perl und PHP sind dabei nicht aktuell und für Sicherheitsmängel bekannt. Daneben finden sich andere, zumindest fragwürdige Konfigurationen – wie die explizite Deaktivierung von CSRF- oder XSS-Schutzmechanismen in PHP bzw. verwendeten PHP-Frameworks (vgl. die Konfigurationsdatei /netscaler/ns_gui/admin_ui/php/application/config/config.php).

$config['global_xss_filtering'] = FALSE;
$config['csrf_protection'] = FALSE;

Insgesamt spricht in der Architektur vieles dafür, dass die Appliance historisch entwickelt und von unterschiedlichen Akteuren zusammengestellt wurde. Derartiges findet sich in vielen IT-Systemen verschiedener Hersteller. Und auch wenn historisch gewachsene Strukturen nicht bedeuten müssen, dass Systeme unsicher sind, steigt dadurch doch die Komplexität und damit das Risiko durch unterschiedliche Arten von Filterung, Validierung oder Inkompatibilitäten bzw. mangelnde Patches.

Mit dem standardmäßig für Analysezwecke vorhandenen Netzwerkanalyseprogramm tcpdump konnten zudem auf den Geräten die von Nutzern eingegebenen Zugangsdaten im Klartext ausgelesen werden, da diese – wenn auch lediglich über die localhost-Schnittstelle – unverschlüsselt übertragen werden. Und zwar auch dann, wenn die eigentliche Authentifzierung gegen ein Active Directory über TLS (via LDAPS) verschlüsselt erfolgt.

Das ermöglicht bspw. Angreifern einen einfachen Weg, um an Zugangsdaten von Nutzern des Systems zu kommen, ohne "auffälligere" Veränderungen am Code des Systems durchführen zu müssen – und damit auch mit einem reduzierten Risiko durch spätere Analysen aufzufliegen. Bei der Bewertung der Angriffe bzw. bei der forensischen Analyse von Angriffen gegen Citrix ADC/NetScaler-Systeme sollte dies berücksichtigt werden.

Es ist lobenswert, dass Citrix die Bereitstellung von Patches beschleunigt hat. Viele Administratoren haben nachvollziehbare Einwände gegen die Verwendung von Workarounds und haben leider auf die Veröffentlichung eines Patches gewartet. Aber die Art von Risiken, die potenziell vorhandenen historischen Belastungen und dergleichen mehr, sind mit einfachen Patches schwierig zu beheben. Schon ein Update der verwendeten Bibliotheken und der zugrundeliegenden Software ist vermutlich nicht in wenigen Tagen zu bewerkstelligen. Insofern sollten Administratoren aufmerksam verfolgen, ob sich in den nächsten Tagen und Wochen weitere Exploits zeigen und die Systeme aktiv auf Angriffe beobachten.

"Sollen wir die Netscaler Appliances jetzt entsorgen?" – so fragten betroffene Betreiber aus verständlichen, naheliegenden Gründen. Die SySS GmbH spricht grundsätzlich keine Produktempfehlungen aus. Die Erfahrung in der IT-Sicherheit zeigt aber, dass immer wieder komplexe Systeme und Appliances zum Ziel von Angriffen werden. Wir empfehlen daher grundsätzlich – und auch an dieser Stelle –, einen Defense-in-Depth-Ansatz zu verwenden. Zur Reduktion der Angriffsfläche würden wir Citrix ADC und ähnliche Systeme nicht direkt im Internet verfügbar machen, sondern erst nach Authentifizierung hinter einem System, das mit VPN oder einem X.509-Clientzertifikat abgesichert ist. Auf den Appliances selbst verwendete Zwei-Faktor-Authentifizierungen schützen vor Angriffen gegen die Authentifizierung (Passwort-Rate-Angriffe, Leaks von Zugangsdaten etc). Sie bieten aber leider KEINEN Schutz gegen Angriffe auf die Appliances selbst. Dadurch wird kein Schutz vor Innentätern erreicht, die Angriffsfläche und das dadurch bestehende Risiko lassen sich aber dennoch deutlich reduzieren und das Monitoring auf Angriffe wesentlich vereinfachen.