Seit dem 01.01.2022 – 00:00 Uhr werden aufgrund eines Bugs bei On-Prem Exchange Servern keine Mails mehr zugestellt. Neue Mails werden vom Exchange zwar angenommen, bleiben dann aber in der Submission Queue hängen und werden nicht ausgeliefert.
Ursache ist ein Bug im “Microsoft Filtering Management Service”, der sich am Jahr 2022 verschluckt. Im Application Event log finden sich dann viele Fehlermeldungen des FIPFS Services mit Meldungen wie «Cannot convert “220101001” to long»
Als Quick Fix reicht es, den «AntiMalware Scanning Service» temporär via Disable-Antimalwarescanning.ps1zu disablen.
In dem Beitrag findet sich etwas versteckt ein Download Link für ein PowerShell Script, welches diesen Prozess automatisiert: https://aka.ms/ResetScanEngineVersion
Das Script läuft recht lange (bis zu 30 Min.) Anschliessend musste der «Microsoft Exchange Transport» Service neu gestartet werden, um den Mailfluss wieder in Gang zu bringen.
Aufgrund eines weiteren CVE’s (CVE-2021-45105) bezüglich der Log4j Schwachstelle hat Citrix erneut Updates für XenMobile Server herausgebracht, s. https://support.citrix.com/article/CTX335705
Updates für diese Versionen stehen zum Download bereit:
Dieses Update sollte schnellstmöglich installiert werden.
UPDATE 16.12.2021, 10.50 Uhr
Für Citrix Endpoint Management (Citrix XenMobile Server) steht ein Update bereit, welches die Log4j Schwachstelle fixt. Bitte so schnell wie möglich das RP2 für XenMobile Server 10.14 installieren: https://support.citrix.com/article/CTX335763
10.14 RP2 – Remove log4j1.x of Kafka (used in GoogleAnalytics) and upgrade log4j2.x to 2.16.0
[From xms_10.14.0.10206.bin] [CXM-102878]
Original Artikel
Am 09.12.2021 wurde der CVE-2021-44228 publiziert. In diesem geht es um eine Sicherheitslücke im log4j. Die Schwachstelle ist in jeder Version vom log4j enthalten und betrifft zum Grossteil Java Applikationen. In Version log4j 2.15.0 wurde diese Schwachstelle behoben.
Citrix Virtual Apps and Desktops (XenApp & XenDesktop) alle anderen Komponenten
Bei Verwendung der Citrix Web Application Firewall auf dem Citrix ADC (NetScaler) können Applikationen mittels der Web Application Firewall Signaturen gegen diese Schwachstelle geschützt werden. Dazu müssen die Signaturen von Hand aktualisiert werden:
Aktivieren der Signaturen:
Als Alternative, wenn das AppFW Feature nicht lizensiert wurde, kann der Schutz auch mittels Responser Policies gewährleistet werden, hierzu gibt es den folgenden GitHub Eintrag, welcher von den Mitgliedern des Citrix PTEC zur Verfügung gestellt wurde: https://github.com/mbp-netscaler/ADC
Die Application Firewall Signaturen und die Responder Policies bieten aber keine 100% Sicherheit, daher wird empfohlen, log4j zu aktualisieren oder mindestens den folgenden Eintrag zu setzen: “log4j2.formatMsgNoLookups” auf “true” zu setzen.
Kunden die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Nov. Update ein Problem. Kerberos mit dem NetScaler funktioniert danach nicht mehr.
Folglich funktionieren KCD und Kerberos Impersonation nicht mehr.
Das Deaktivieren der neuen Sicherheitsrichtlinie via Registry Key hilft nicht. Momentan bleibt einzig ein Rollback des Windows Updates auf den Stand 2021-10.
Momentan existiert noch keine Lösung. Bis auf weiteres sollten Kunden das Nov. Update nicht auf den Domain Controllern einspielen, wenn sie Kerberos via NetScaler benötigen.
Sobald eine Lösung existiert, wird dieser Artikel aktualisiert.
UPDATE:
Microsoft hat ein Out-of-Band Update bereitgestellt, welches die genannten Probleme behebt. Dieses Update wird allerdings NICHT via Windows Update verteilt, sondern steht nur im Microsoft Update Catalog zum Download bereit. Es muss also manuell heruntergeladen und auf den Domain Controllern installiert werden. Direkte Download Links sind hier zu finden:
The complete list of out-of-band updates released by Microsoft over the weekend includes:
Citrix hat heute ein neues Security Bulletin veröffentlicht. Es gibt zwei neue Schwachstellen in allen NetScaler Versionen, welche eine Denial of Service Attacke ermöglichen. Eine der Schwachstellen wurde mit dem Status «Critical» versehen, da sie sich ohne Authentifizierung vom Internet aus ausnutzen lässt.
CVE-ID
Description
CWE
Affected Products
Pre-conditions
Criticality
CVE-2021-22955
Unauthenticated denial of service
CWE-400: Uncontrolled Resource Consumption
Citrix ADC, Citrix Gateway
Appliance must be configured as a VPN (Gateway) or AAA virtual server
Critical
CVE-2021-22956
Temporary disruption of the Management GUI, Nitro API and RPC communication
Das Update von Firmware Versionen kleiner, oder gleich 12.1.59.x, bzw. 13.0.64.35 führt dazu, dass der SSO für viele Anwendungen nicht mehr funktioniert. Vor dem Update sollte daher unbedingt folgender Citrix eDocs Artikel gelesen werden: Enable SSO for Basic, Digest, and NTLM authentication (citrix.com)
In NetScaler 13.1.4.43 sind Classic Policies nicht mehr supportet. Vor einem Update auf 13.1.x sollte daher unbedingt eine vorherige Überprüfung der NetScaler Konfiguration durchgeführt werden, s. Classic Policy Deprecation FAQs
Letzte Aktualisierung: Samstag-25.1.2020 – 20:15 Version: 1.5
Problembeschreibung
In Citrix Application Delivery Controller (ADC), früher bekannt als NetScaler ADC und Citrix Gateway, wurde eine Schwachstelle entdeckt, die, wenn sie ausgenutzt wird, einem nicht authentifizierten Angreifer die Ausführung von beliebigem Code ermöglichen könnte. Die Schwachstelle wurde mit der folgenden CVE-Nummer versehen: CVE-2019-19781
Betroffene Systeme
Citrix ADC und Citrix Gateway Version 13.0 alle unterstützten Builds
Citrix ADC und NetScaler Gateway Version 12.1 alle unterstützten Builds
Citrix ADC und NetScaler Gateway Version 12.0 alle unterstützten Builds
Citrix ADC und NetScaler Gateway Version 11.1 alle unterstützten Builds
Citrix NetScaler ADC und NetScaler Gateway Version 10.5 alle unterstützten Builds
Citrix Patch verfügbar
Citrix hat diese Woche begonnen die Patches für alle verfügbaren Version zu veröffentlichen. Es stehen nun für alle Citrix ADC Versionen, sowie Citrix SD-WAN ein Patch zum download zur Verfügung.
Weiter Informationen entnehmen Sie bitte dem nachfolgenden Artikerl.
Bitte kontrollieren Sie ob bei Ihnen folgender Release zum Einsatz kommt: Citrix ADC 12.1 51.16/51.19 Citrix ADC 12.1 50.31 Bei diesen beiden Versionen funktionieren die hier beschriebene Lösungsansatz NICHT! Bitte aktualisieren Sie auf die aktuelle 12.1 Version. Danach können Sie mit dem Workaround weiterfahren. Bitte beachten Sie, dass auch diese Version noch immer den eigentlichen Fehler beinhaltet.
Die starke Medienpräsenz hat dazu geführt, dass sich die Angriffe potentiell erhöht haben. Da viele Systeme, die bis zum heutigen Tag noch nicht abgesichert wurden, tatsächlich gehackt wurden, besteht dringender Bedarf bei allen Betreibern eines Citrix ADC zu analysieren ob Sie betroffen sind und Gegenmassnahmen einzuleiten.
Ob Ihr ADC angreifbar ist, können Sie mittels eines simplen CURL Befehles feststellen
Überprüfen Sie ob Angreifer auf Ihre Cron-Jobs“ im BSD Zugriff erhalten haben um Zugriff auch dann weiterhin zu erhalten nachdem wenn die Lücke behoben wurde. Überprüfen Sie Ihre Crontab-Datei:
cat /etc/crontab crontab -l -u nobody
Finden Sie crontab jobs die unter dem Benutzer “nobody laufen” oder die sich nicht kennen und die dort nicht hingehören so wurde Ihr System gehackt und Gegenmassnahmen müssen getroffen werden.
Überprüfen Sie Ihre HTTP access logs ob Verdächtige Zugriffe stattgefunden haben:
Mithilfe der folgenden Befehle können Sie Überprüfen ob Ihr System kompromittiert wurde:
Sehen Sie verdächtige .xml uploads in den Logs oder sehen Sie Zugriffe die in den URLs /../ enthalten, so wurde Ihr System attackiert und Gegenmassnahmen müssen dringend ergriffen werden.
Überprüfen der Template Dateien:
Die am häufigsten gesehene Attacke kann nachgewiesen werden, indem überprüft wird, ob verdächtige .xml Dateien auf Ihren ADC hochgeladen wurden.
Mit Hilfe der folgenden Befehle können Sie das überprüfen:
ls -lh /var/vpn/bookmark/*.xml
ls -lh /netscaler/portal/templates/*.xml
ls -lh /var/tmp/netscaler/portal/templates
Finden Sie in den Verzeichnissen verdächtige .html, .html.ttc2 oder andere Dateien die dort nicht liegen sollten so wurde Ihr System attackiert und Gegenmassnahmen müssen dringend ergriffen werden.
Überprüfen ob Backdoor Skripte Implementiert wurden:
Backdoor Skripten oder anderen böswilligen Aufgaben können als Perl- oder Python-Skript Ihr System Infizieren. So überprüfen Sie, ob aktive Perl- oder Python-Tasks ausgeführt werden:
ps -aux | grep python
ps -aux | grep perl
Überprüfen ob fremde Dienste oder Crypto Miner Implementiert wurden:
In einigen Fällen wurde versucht Crypto Miner und andere Dienste zu installieren. Sie können diese identifizieren, indem Sie sich die CPU-intensiven Prozesse ansehen und bewerten:
top -n 10
Sollten Sie andere Prozesse als NSPPE-00, NSPPE-01, NSPPE-002 NSPPE-03, NSPPE-04, NSPPE-05 sehen, die eine hohe CPU-Auslastung aufweisen, so haben Sie möglicherweise einen Crypto Miner gefunden!
Problembehebung
Die folgenden Konfigurationsänderungen dienen der Abschwächung der oben genannten Schwachstelle.
Standalone System
Führen Sie die folgenden Befehle über die Befehlszeilenschnittstelle der Appliance aus, um eine Responder-Aktion und -Richtlinie zu erstellen:
Stellen Sie sicher, dass die Änderungen auch für die Management-Schnittstellen gelten. Führen Sie von der Kommandozeilenschnittstelle aus die folgenden Befehle aus.
