Am 17. Dezember 2019 hat Citrix ein Security Bulletin (CTX267027) veröffentlich, welches auf eine Remote Code Execution (RCE) Vulnerability in den Produkten Citrix Application Delivery Controller (ADC) (früher NetScaler ADC) und Citrix Gateway (früher NetScaler Gateway) hinweist.
Leider existiert für die Sicherheitslücke kein Patch, jedoch gibt es einen Workaround. Dabei kann der ADC so konfiguriert werden, dass die Sicherheitslücke nicht mehr ausgenutzt werden kann. Sollten Sie die genannten Citrix-Produkte einsetzen, empfehlen wir Ihnen ausdrücklich, diesen Workaround zu aktivieren.
Warum wird das Thema erst jetzt aktuell, obwohl die Sicherheitslücke schon im Dezember bekannt wurde? Am 11. Januar 2020 (Samstag) hat TrustedSec auf GitHub ein Tool veröffentlicht, womit die Sicherheitslücke ausgenutzt werden kann (Citrixmash). Mit einem öffentlich verfügbaren Exploit stiegen natürlich über das Wochenende die Scans nach der Sicherheitslücke enorm an. Die Leute von Bad Packets gehen von weltweit 25’121 verwundbaren Hosts aus. Die Schweiz schafft es mit 1094 verwundbaren Hosts knapp nicht auf das Podest der Länder mit der grössten Anzahl an verwundbaren Hosts. Die USA, Deutschland und UK führen die Liste an.
Sollten Sie den Workaround noch nicht installiert haben und Ihre Citrix Hosts zu den 1’094 verwundbaren Rechnern in der Schweiz gehören, könnten auch Sie bereits gehackt worden sein. Um zu prüfen, ob Sie bereits Opfer des Exploits geworden sind, hat TrustedSec einen entsprechenden Artikel veröffentlicht.
Die InfoGuard Cyber Security-Experten helfen Ihnen herauszufinden, ob sie bereits kompromittiert wurden. Falls ja, kann Sie unser Investigation-Team unterstützen bei der Feststellung, ob weitere Teile Ihrer Infrastruktur von den Angreifern übernommen wurden.