Solution
Citrix is aware of a potential issue impacting the Citrix Broker and Citrix HighAvailability services on the Delivery Controllers and Citrix Cloud Connectors respectively with Microsoft Defender installed. Please see the following article for best practices to configure Microsoft Windows Defender: https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html.
On-Premises Deployment
Microsoft has released an updated Antivirus Definition 1.321.1341.0 to address this issue.
Please follow the below steps to clear the current cache and trigger an update, use a batch script that runs the following commands as an administrator:
cd %ProgramFiles%\Windows Defender
MpCmdRun.exe -removedefinitions -dynamicsignatures
MpCmdRun.exe -SignatureUpdate
If you continue to see the issue, please follow the below workarounds:
Workaround 1
The following steps can help restore the service:
Restore the quarantined files from Windows Defender by following this article: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/restore-quarantined-files-microsoft-defender-antivirus
This includes the Citrix Broker Service, the Citrix High Availability Service and the Citrix Configuration Sync service.
Change the Log On for these services to Network Service.
Apply the exclusion list described in the article: https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html.
Reboot the Citrix Delivery Controller machine
Try the below steps if the above workaround does not resolve the issue.
Workaround 2
Mount the Citrix Virtual Apps and Desktop ISO.
Navigate to the «\x64\Citrix Desktop Delivery Controller» folder.
Right Click Broker_Service_x64.msi and choose Repair.4. During the Repair, add the BrokerService.exe and the HighAvailabilityService.exe to the exclusion list in Microsoft Windows Defender Pop-up wizard.
5. If Microsoft Windows Defender Wizard does not pop-up automatically during the BrokerService.exe Repair , then follow https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html. to add the exclusions manually.
Workaround 3
Disable/downgrade Microsoft Windows Defender Version.Refer to below Microsoft articles to add exclusions or roll back the update.
https://support.microsoft.com/en-in/help/4052623/update-for-microsoft-defender-antimalware-platform
Ensure Citrix Recommended AV exclusions are in place as per Citrix article: https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html#antivirus-exclusions
Citrix Virtual Apps and Desktop Service
Workaround
Please follow the below steps on all Citrix Cloud Connector machines:
Restore the quarantined files from Windows Defender by following this article: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/restore-quarantined-files-microsoft-defender-antivirus
This includes the Citrix High Availability Service and the Citrix Configuration Sync service.
Change the Log On for these services to Network Service.
Apply the exclusion list described in the article: https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html#cloud-connector
Reboot the Citrix Cloud Connector
Note: If the files for Citrix High Availability Service and the Citrix Configuration Sync service. are no longer present in Windows Defender Quarantined files, then uninstall and reinstall the Citrix Cloud connector.
Problem Cause
Microsoft Windows Defender is detecting Citrix Broker Service as well as H ighAvalabilityService.exe as Trojan and deleting them.
Der DNS Service von Windows Server ist von einer Sicherheitslücke betroffen, die Angreifern ermöglicht wurmartige Viren zu verteilen oder sich erhöhte Rechte zu ergattern.
Heute hat Citrix ein Security Bulletin (CTX276688) veröffentlicht, in dem alle NetScaler und SD-WAN Kunden auf mehrere, teils schwerwiegende Sicherheitslücken aufmerksam gemacht wurden.
Einige Schwachstellen sind nur über die NSIP (Management IP) ausnutzbar, so dass ein Angreifer Zugang zum internen Netzwerk benötigt.
In ungepatchten Versionen sind allerdings auch Schwachstellen vorhanden, welche über die VIP’s angreifbar sind.
Aktuell sind noch keine Exploits bekannt, es wird jedoch allen NetScaler Betreibern geraten, das entsprechende Update schnellstmöglich zu installieren.
Für alle NetScaler Version von 10.5 bis 13.0 stehen bereits abgesicherte Versionen im Downloadbereich von Citrix zur Verfügung:
Citrix ADC and Citrix Gateway 13.0-58.30 and later releases
Citrix ADC and NetScaler Gateway 12.1-57.18 and later 12.1 releases
Citrix ADC and NetScaler Gateway 12.0-63.21 and later 12.0 releases
Citrix ADC and NetScaler Gateway 11.1-64.14 and later 11.1 releases
NetScaler ADC and NetScaler Gateway 10.5-70.18 and later 10.5 releases
Citrix SD-WAN WANOP 11.1.1a and later releases
Citrix SD-WAN WANOP 11.0.3d and later 11.0 releases
Citrix SD-WAN WANOP 10.2.7 and later 10.2 releases
Citrix Gateway Plug-in for Linux 1.0.0.137 and later versions
Citrix beschreibt in einem Knowledge Base Artikel, dass alle Workspace App und Receiver Versionen vor 1912 von zwei Sicherheitslücken betroffen sind. Mit diesen kann sich ein Angreifer erhöhte Rechte geben und so das lokale System übernehmen.
Im Folgenden werden diese beiden Lücken genauer beschrieben:
CVE-2020-13884:Citrix Workspace App before 2006.1 on Windows has Insecure Permissions for %PROGRAMDATA%\Citrix (and an unquoted UninstallString), which allows local users to gain privileges by copying a malicious citrix.exe there.
CVE-2020-13885: Citrix Workspace App before 2006.1 on Windows has Insecure Permissions for «%PROGRAMDATA%\Citrix\Citrix Workspace ####\» which allows local users to gain privileges by copying a malicious webio.dll there.
Diese Schwachstellen betreffen nur Windows Clients.
Letzte Aktualisierung: Samstag-25.1.2020 – 20:15 Version: 1.5
Problembeschreibung
In Citrix Application Delivery Controller (ADC), früher bekannt als NetScaler ADC und Citrix Gateway, wurde eine Schwachstelle entdeckt, die, wenn sie ausgenutzt wird, einem nicht authentifizierten Angreifer die Ausführung von beliebigem Code ermöglichen könnte. Die Schwachstelle wurde mit der folgenden CVE-Nummer versehen: CVE-2019-19781
Betroffene Systeme
Citrix ADC und Citrix Gateway Version 13.0 alle unterstützten Builds
Citrix ADC und NetScaler Gateway Version 12.1 alle unterstützten Builds
Citrix ADC und NetScaler Gateway Version 12.0 alle unterstützten Builds
Citrix ADC und NetScaler Gateway Version 11.1 alle unterstützten Builds
Citrix NetScaler ADC und NetScaler Gateway Version 10.5 alle unterstützten Builds
Citrix Patch verfügbar
Citrix hat diese Woche begonnen die Patches für alle verfügbaren Version zu veröffentlichen. Es stehen nun für alle Citrix ADC Versionen, sowie Citrix SD-WAN ein Patch zum download zur Verfügung.
Weiter Informationen entnehmen Sie bitte dem nachfolgenden Artikerl.
Bitte kontrollieren Sie ob bei Ihnen folgender Release zum Einsatz kommt: Citrix ADC 12.1 51.16/51.19 Citrix ADC 12.1 50.31 Bei diesen beiden Versionen funktionieren die hier beschriebene Lösungsansatz NICHT! Bitte aktualisieren Sie auf die aktuelle 12.1 Version. Danach können Sie mit dem Workaround weiterfahren. Bitte beachten Sie, dass auch diese Version noch immer den eigentlichen Fehler beinhaltet.
Die starke Medienpräsenz hat dazu geführt, dass sich die Angriffe potentiell erhöht haben. Da viele Systeme, die bis zum heutigen Tag noch nicht abgesichert wurden, tatsächlich gehackt wurden, besteht dringender Bedarf bei allen Betreibern eines Citrix ADC zu analysieren ob Sie betroffen sind und Gegenmassnahmen einzuleiten.
Ob Ihr ADC angreifbar ist, können Sie mittels eines simplen CURL Befehles feststellen
Überprüfen Sie ob Angreifer auf Ihre Cron-Jobs“ im BSD Zugriff erhalten haben um Zugriff auch dann weiterhin zu erhalten nachdem wenn die Lücke behoben wurde. Überprüfen Sie Ihre Crontab-Datei:
cat /etc/crontab crontab -l -u nobody
Finden Sie crontab jobs die unter dem Benutzer “nobody laufen” oder die sich nicht kennen und die dort nicht hingehören so wurde Ihr System gehackt und Gegenmassnahmen müssen getroffen werden.
Überprüfen Sie Ihre HTTP access logs ob Verdächtige Zugriffe stattgefunden haben:
Mithilfe der folgenden Befehle können Sie Überprüfen ob Ihr System kompromittiert wurde:
Sehen Sie verdächtige .xml uploads in den Logs oder sehen Sie Zugriffe die in den URLs /../ enthalten, so wurde Ihr System attackiert und Gegenmassnahmen müssen dringend ergriffen werden.
Überprüfen der Template Dateien:
Die am häufigsten gesehene Attacke kann nachgewiesen werden, indem überprüft wird, ob verdächtige .xml Dateien auf Ihren ADC hochgeladen wurden.
Mit Hilfe der folgenden Befehle können Sie das überprüfen:
ls -lh /var/vpn/bookmark/*.xml
ls -lh /netscaler/portal/templates/*.xml
ls -lh /var/tmp/netscaler/portal/templates
Finden Sie in den Verzeichnissen verdächtige .html, .html.ttc2 oder andere Dateien die dort nicht liegen sollten so wurde Ihr System attackiert und Gegenmassnahmen müssen dringend ergriffen werden.
Überprüfen ob Backdoor Skripte Implementiert wurden:
Backdoor Skripten oder anderen böswilligen Aufgaben können als Perl- oder Python-Skript Ihr System Infizieren. So überprüfen Sie, ob aktive Perl- oder Python-Tasks ausgeführt werden:
ps -aux | grep python
ps -aux | grep perl
Überprüfen ob fremde Dienste oder Crypto Miner Implementiert wurden:
In einigen Fällen wurde versucht Crypto Miner und andere Dienste zu installieren. Sie können diese identifizieren, indem Sie sich die CPU-intensiven Prozesse ansehen und bewerten:
top -n 10
Sollten Sie andere Prozesse als NSPPE-00, NSPPE-01, NSPPE-002 NSPPE-03, NSPPE-04, NSPPE-05 sehen, die eine hohe CPU-Auslastung aufweisen, so haben Sie möglicherweise einen Crypto Miner gefunden!
Problembehebung
Die folgenden Konfigurationsänderungen dienen der Abschwächung der oben genannten Schwachstelle.
Standalone System
Führen Sie die folgenden Befehle über die Befehlszeilenschnittstelle der Appliance aus, um eine Responder-Aktion und -Richtlinie zu erstellen:
Stellen Sie sicher, dass die Änderungen auch für die Management-Schnittstellen gelten. Führen Sie von der Kommandozeilenschnittstelle aus die folgenden Befehle aus.
