Sicherheitshinweis: Schwachstelle in Citrix Application Delivery Controller und Citrix Gateway, die zur Ausführung willkürlichen Codes führt (CVE-2019-19781)

*****Von Yaron Kassner, CTO und Mitgründer, Silverfort*****

Eine kürzlich identifizierte Schwachstelle in Citrix Application Delivery Controller (ADC), früher bekannt als NetScaler ADC, und Citrix Gateway, früher bekannt als NetScaler Gateway, ermöglicht es einem nicht authentifizierten Angreifer, willkürlichen Code auszuführen, wenn er ausgenutzt wird. Der Schwachstelle wurde die CVE-Nummer zugewiesen: CVE-2019-19781. Es wird geschätzt, dass etwa 80 Organisationen betroffen sind.

Es ist noch kein Patch verfügbar, aber Citrix hat empfohlene Gegenmaßnahmen veröffentlicht. Für Silverfort Kunden empfehlen wir die folgenden zusätzlichen Vorsichtsmaßnahmen zusätzlich zu den von Citrix empfohlenen, um sicherzustellen, dass ein bereits kompromittiertes Gerät nicht für unbefugten Zugriff verwendet wird.

Hier sind die empfohlenen Minderungsschritte für Benutzer von Citrix ADC oder Citrix Gateway:

1. Abonnieren Sie die Citrix-Warnungen damit Sie wissen, wann die gefixte Firmware veröffentlicht wird:  https://support.citrix.com/user/alerts
2. Führen Sie die von Citrix empfohlenen Minderungsschritte durch wie hier beschrieben: https://support.citrix.com/article/CTX267679
3. Schützen Sie den Zugriff auf Systeme und Anwendungen, auf die Sie von Ihrem Citrix-Gerät aus zugreifen können MFA: Zusätzlich zu den von Citrix empfohlenen Schritten empfehlen wir, MFA zu erzwingen, um die Authentifizierung von Benutzern zu sichern, bevor ihnen Zugriff auf vertrauliche Ressourcen gewährt wird. Citrix ermöglicht es Ihnen, MFA beim Zugriff über seine Geräte auf Zielsysteme zu erzwingen. Diese Lösung reicht jedoch nicht aus: Wenn ein Hacker die Schwachstelle bereits ausgenutzt und das Citrix-Gerät kompromittiert hat, wird MFA beim Zugriff durch Code, der auf dem kompromittierten Citrix-Gerät ausgeführt wird, nicht erzwungen. In diesem Fall Silverfort kann dennoch eine sichere Authentifizierung erzwingen, unabhängig davon, ob der Zugriff vom kompromittierten Gerät oder von einem legitimen Benutzer stammt.
4. Überwachen Sie die Authentifizierungsaktivität und suchen Sie nach Anomalien: Anomalien im Authentifizierungsdatenverkehr, der vom Citrix-Gerät stammt, und im Authentifizierungsdatenverkehr, der auf Systeme abzielt, auf die über das Citrix-Gerät zugegriffen werden kann, sollten in Protokollen angezeigt werden und weitere Untersuchungen erfordern.  SilverfortDie KI-gesteuerte Risiko-Engine von kann diese Anomalien automatisch erkennen und eine Richtlinie durchsetzen, um in Echtzeit zu warnen oder den Zugriff zu blockieren.

Zu den Dingen, auf die Sie achten sollten, gehören:

– Authentifizierung mit hohem Risiko

– Ungewöhnlich hohe Authentifizierungslast

– Fehlgeschlagene Authentifizierungen

– Authentifizierung ausgehend vom Citrix Gateway, die normalerweise nicht von dort stammt. Achten Sie beispielsweise auf den Zugriff auf Dateifreigaben (cifs Kerberos Tickets) und RDP-Zugriff (termsrv Kerberos-Tickets).

– Authentifizierung, die vom Citrix Gateway stammt und nicht an Citrix geschützte Anwendungen gerichtet ist.

Es ist wichtig, sich daran zu erinnern, dass Bedrohungen innerhalb unserer Netzwerke existieren, nicht nur außerhalb. Wir müssen die Tatsache berücksichtigen, dass Gegner möglicherweise bereits in unsere Netzwerke eingedrungen sind und Fuß gefasst haben, der weitere ermöglicht seitliche Bewegung und Zugang zu sensiblen Ressourcen. Um den autorisierten Zugriff auf unsere Systeme sicherzustellen, müssen wir die Identität validieren und eine sichere Authentifizierung beim Zugriff von Personen erzwingen, die sich bereits in unseren Netzwerken befinden, genauso wie wir eine sichere Authentifizierung benötigen, um die Identitäten von Personen zu validieren, die von außerhalb unserer Netzwerke über ein VPN oder andere Gateways kommen .

Yaron Kassner, CTO und Mitgründer, Silverfort

SilverfortCTO und Mitbegründer von Yaron Kassner ist ein Experte für Cybersicherheit und Big-Data-Technologie. Vor der Mitgründung Silverfort, war Yaron als Experte für Big Data bei Cisco tätig. Außerdem entwickelte er bei Microsoft neue Funktionen für Big-Data-Analysen und maschinelle Lernalgorithmen. Davor diente Yaron bei der 8200-Elite-Cybereinheit der israelischen Verteidigungsstreitkräfte, wo er ein angesehenes Forschungs- und Entwicklungsteam leitete, in den Rang eines Hauptmanns aufstieg und eine prestigeträchtige Auszeichnung für herausragende Leistungen erhielt. Yaron hat einen B.Sc. in Mathematik, Summa Cum Laude, ein M.Sc. und Ph.D. in Informatik vom Technion – Israel Institute of Technology.