Kurzer Hintergrund von Citrix-Bleed
Citrix Bleed, eine kritische Schwachstelle in Citrix NetScaler®, hat in den Publikationen der Computerbranche große Aufmerksamkeit erregt. Dieser Beitrag liefert Hintergrundinformationen zu Citrix Bleed und erklärt, warum auch Monate nach der Entdeckung der Schwachstelle noch darüber berichtet wird.
Erste Entdeckung und Entschärfung
Am 18. Juli 2023 gab die Cloud Software Group (CSG), das aus der Fusion von Citrix® und TIBCO® im Jahr 2022 hervorgegangene Unternehmen, drei kritische Schwachstellen, die in von Kunden verwalteten NetScaler® ADC und NetScaler Gateway entdeckt wurden, als Security Bulletin im Citrix Knowledge Center bekannt. Dem Bulletin zufolge wurde die kritischste Sicherheitslücke, CVE-2023-3519, bereits ausgenutzt.
Zu diesem Zeitpunkt empfahl CSG, aktualisierte Versionen der NetScaler ADC- und Gateway-Software auf den nicht aktivierten Appliances zu installieren, und veröffentlichte außerdem Sicherheitsupdates.
Am 20. Juli 2023 gab die Cybersecurity and Infrastructure Security Agency (CISA), die zum United States Department of Homeland Security (DHS) gehört, einen Cybersecurity Advisory heraus, in dem sie bestätigte, dass CVE-2023-3519 im Juni 2023 gegen eine kritische US-Infrastrukturorganisation ausgenutzt und der CISA im Juli gemeldet wurde. (HINWEIS: CVE-Kennungen werden von einer von etwa 100 CVE Numbering Authorities (CNAs) zugewiesen; MITRE Corporation ist der Herausgeber und die primäre CNA für die Organisation).
Bei diesem Exploit legten die Hacker eine Web-Shell (Malware, die den Fernzugriff auf einen Webserver ermöglicht) auf der NetScaler ADC-Appliance des Unternehmens ab. Dadurch konnten die Hacker Daten aus dem Active Directory (AD) des Unternehmens stehlen, einschließlich Informationen über Benutzer, Gruppen, Anwendungen und Geräte im Netzwerk.
Glücklicherweise war die angegriffene Appliance innerhalb des Netzwerks der Organisation isoliert, so dass die Hacker nicht in der Lage waren, den Domänencontroller zu kompromittieren, der die Authentifizierungs- und Autorisierungsdienste für die AD-Domäne bereitstellt. Die Organisation konnte die Hacker ab wehren und den Angriff begrenzen.
Damals schätzte die Shadowserver Foundation, dass mehr als 15.000 Citrix-Server weltweit gefährdet sind, wenn keine Patches eingespielt werden.
Entwicklung zu Citrix Bleed
Am 10. Oktober 2023 hat CSG eine neue Sicherheitslücke in von Kunden verwalteten NetScaler ADC- und NetScaler Gateway-Geräten bekannt gegeben. Diese Schwachstelle, der die Kennung CVE-2023-4966 zugewiesen wurde, erhielt den allgemeinen Namen Citrix Bleed, der auf eine berüchtigte Schwachstelle aus dem Jahr 2014 namens Heartbleed anspielt, die in großem Umfang ausgenutzt wurde und es Hackern ermöglichte, vertrauliche Informationen wie Passwörter, Verschlüsselungsschlüssel und Bankdaten zu stehlen.
Citrix Bleed ermöglicht entfernten, nicht authentifizierten Angreifern, Daten aus dem Speicher eines verwundbaren NetScaler-Geräts zu extrahieren, einschließlich sensibler Sitzungs-Tokens. Erschreckenderweise ist die Ausnutzung der Schwachstelle recht einfach und ermöglicht es einem Hacker, die Kontrolle über das vom NetScaler-Gerät verwaltete Netzwerk zu übernehmen und Sitzungs-Token zu verwenden, die Benutzeranfragen authentifizieren und den Zugriff auf Benutzerdaten ermöglichen, ohne dass ein Passwort oder eine Zwei-Faktor-Authentifizierung erforderlich ist.
CSG gab Patches für Citrix Bleed heraus, aktualisierte aber am17 . Oktober seinen Sicherheitshinweis, um mitzuteilen, dass die Schwachstelle in freier Wildbahn ausgenutzt wurde, d. h. dass es Beweise dafür gab, dass die Schwachstelle bereits in vielen Unternehmen ausgenutzt wurde. Tatsächlich haben einige Cybersicherheitsunternehmen die Schwachstelle bereits Ende August entdeckt.
Citrix Bleed Exploits sind wahrscheinlich im Gange
Zum Zeitpunkt der Erstellung dieses Artikels haben viele große Unternehmen Sicherheitsverletzungen bekannt gegeben, die durch Citrix Bleed ermöglicht wurden, darunter Boeing und Xfinity. Es gibt mehrere Bedrohungsgruppen, die aktiv daran arbeiten, Citrix Bleed weiterhin auszunutzen, um an sensible Informationen zu gelangen, die sie verkaufen, als Lösegeld erpressen oder als Teil einer geheimdienstlichen Operation nutzen wollen. Und solange diese Gruppen Citrix Bleed ausnutzen, werden die Branchenmedien weiterhin über die daraus resultierenden Sicherheitsverletzungen berichten.
Warum versuchen diese Gruppen immer noch, Citrix Bleed auszunutzen? Wie bereits erwähnt, lässt sich Citrix Bleed leicht ausnutzen, wenn ein Unternehmen es versäumt hat, den entsprechenden Patch aufzuspielen. Allerdings muss die IT-Abteilung nicht nur den Patch aufspielen, sondern auch aktive und dauerhafte Sitzungs-Tokens vor dem Neustart des Geräts ungültig machen. Diese Ungültigmachung verhindert, dass ein Hacker auf gültige Sitzungs-Token im Speicher zugreift und sie verwendet, um die Kontrolle über aktive Sitzungen zu übernehmen und auf sensible Benutzerdaten zuzugreifen.
Da Citrix Bleed so leicht auszunutzen ist, sollte jedes Unternehmen, das NetScaler einsetzt, davon ausgehen, dass seine Geräte kompromittiert wurden, und sicherstellen, dass alle entsprechenden Patches eingespielt und Sitzungs-Tokens ungültig gemacht wurden. Darüber hinaus sollte die IT-Abteilung alle Netzwerkgeräte und die gesamte Infrastruktur auf Anzeichen für eine Kompromittierung überprüfen - eine Reihe von Sicherheitsunternehmen hat dazu kostenlose detaillierte Sicherheitsanleitungen veröffentlicht.
Wie geht es weiter?
Für Citrix-Kunden - insbesondere für diejenigen, die NetScaler in ihrer Computing-Infrastruktur einsetzen - war Citrix Bleed eine erschütternde Erfahrung. Einige von ihnen fragen sich daher, ob die jüngste Übernahme und Fusion von Citrix mit TIBCO das NetScaler-Produktteam abgelenkt und das Erkennen mehrerer kritischer Sicherheitslücken in ihren Produkten verlangsamt hat. Einige Citrix/CSG-Kunden fragen sich vielleicht, ob andere Elemente der hochkomplexen Infrastruktur von Citrix/CSG gefährdet sein könnten.
Wenn Sie ein ISV oder MSP sind, der den Einsatz von Citrix für die Bereitstellung von Windows-Anwendungen für Kunden neu bewertet, die Komplexität Ihrer Endbenutzer-Computing-Infrastruktur reduzieren oder Ihre Kosten für die Bereitstellung von Windows-Anwendungen senken möchte, sollten Sie GO-Global in Betracht ziehen.
Mit GO-Global Application Publishing werden Windows-Anwendungen auf einem Server ausgeführt, der in jeder öffentlichen, privaten oder hybriden Cloud installiert werden kann. GO-Global nutzt dann die vorhandene Infrastruktur sowie die Sicherheits- und Skalierbarkeitsfunktionen Ihrer Cloud-Services, um erweiterte Funktionen mit geringerer Komplexität, niedrigeren Kosten und geringerem Risiko bereitzustellen.
Für sicherheitsbewusste Unternehmen unterstützt GO-Global die Zwei-Faktor-Authentifizierung und ist die einzige Windows Application Publishing-Lösung, die Single Sign-On-Unterstützung für OpenID® Connect (OIDC) bietet. Damit können Unternehmen OIDC-Identitätsanbieter wie Okta® und Microsoft® Active Directory Federated Services (ADFS) für Single Sign-On auf GO-Global Windows-Hosts nutzen.
Trotz seiner geringen Kosten bietet GO-Global Skalierbarkeit auf Unternehmensebene, ist aber einfach zu installieren, zu konfigurieren und zu verwenden und bietet eine hervorragende Benutzerfreundlichkeit, einschließlich schneller Logins und minimaler Latenz, selbst bei Verbindungen mit geringer Bandbreite.
Reduzieren Sie die Komplexität. Kosten reduzieren. Reduzieren Sie das Risiko.
Holen Sie sich GO-Global.
Wenn Sie mehr erfahren möchten, können Sie hier eine Demo anfordern oder eine kostenlose 30-Tage-Testversion herunterladen.
