Citrix ADC, Citrix Gateway WANOP appliance Security Update

Citrix ADC, Citrix Gateway WANOP appliance Security Update

by | Sep 18, 2020 | ALARM

Mehrere Schwachstellen wurden in Citrix ADC (früher bekannt als NetScaler ADC), Citrix Gateway (früher bekannt als NetScaler Gateway) und Citrix SD-WAN WANOP Appliance-Modelle 4000-WO, 4100-WO, 5000-WO und 5100-WO entdeckt. Diese Schwachstellen können, wenn sie ausgenutzt werden, zu den folgenden Sicherheitsproblemen führen:

CVE IDDescriptionVulnerability Type Affected ProductsPre-conditions
CVE-2020-8245An HTML Injection attack against the SSL VPN web portal CWE-79: Improper Neutralization of Input During Web Page GenerationCitrix ADC, Citrix GatewayRequires an authenticated victim on the SSL VPN web portal who must open an attacker-controlled link in the browser
CVE-2020-8246A denial of service attack originating from the management network CWE-400: Uncontrolled Resource Consumption Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OPUnauthenticated attacker with access to the management network
CVE-2020-8247Escalation of privileges on the management interfaceCWE-269: Improper Privilege Management Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP An attacker must possess privilege to execute arbitrary commands on the management interface

Die Schwachstellen werden in den folgenden unterstützten Versionen behoben:

  • Citrix ADC and Citrix Gateway 13.0-64.35 and later releases
  • Citrix ADC and NetScaler Gateway 12.1-58.15 and later releases
  • Citrix ADC 12.1-FIPS 12.1-55.187 and later releases
  • Citrix ADC and NetScaler Gateway 11.1-65.12 and later releases
  • Citrix SD-WAN WANOP 11.2.1a and later releases
  • Citrix SD-WAN WANOP 11.1.2a and later releases
  • Citrix SD-WAN WANOP 11.0.3f and later releases
  • Citrix SD-WAN WANOP 10.2.7b and later releases

Zusätzlich wurden den oben genannten Versionen von Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP Sicherheitsverbesserungen hinzugefügt, um Kunden vor Angriffen durch HTTP Request Smuggling zu schützen. Kunden können diese Verbesserungen über die Verwaltungsschnittstelle von Citrix ADC aktivieren. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX282268.

Mildernde Faktoren

Zwei der drei Schwachstellen haben ihren Ursprung in der Verwaltungsschnittstelle von Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP. Citrix empfiehlt dringend, den Netzwerkverkehr zur Verwaltungsschnittstelle der Appliance entweder physisch oder logisch vom normalen Netzwerkverkehr zu trennen. Auf diese Weise wird das Risiko der Ausnutzung stark vermindert. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html.

Problemlösung

Installieren Sie so schnell wie möglich ein der veröffentlichten Updates.

Haben Sie Fragen oder benötigen Hilfe? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.

Fehler in RfWebUI Theme nach 13.0.x Update

Fehler in RfWebUI Theme nach 13.0.x Update

by | Feb 19, 2020 | INFO

Problembeschreibung

Personalisierte Themes die auf RfWebUI basieren funktionieren nach dem Upgrade auf die Builds 13.0-47.22 und 13.0-47.24 nicht mehr.
Neu erstellte und nicht RfWebUI-basierte benutzerdefinierte Themen haben keine Probleme.

Lösung

Dieses Problem wird in der nächsten MR-Version für 13.0 behoben werden.

Bitte befolgen Sie einen der aufgeführten Woekaround, um dieses Problem zu beheben.

Workaround 1

Führen Sie folgenden Befehl für jedes RfWebUI-basierte Them aus:

ln –s /var/netscaler/logon/LogonPoint/index.html /var/netscaler/logon/themes/<CustomThemeName >/index.html
ln –s /var/netscaler/logon/LogonPoint/tmindex.html /var/netscaler/logon/themes/<CustomThemeName >/tmindex.html

Workaround 2

Wenn es viele benutzerdefinierte Themen gibt, kann das folgende Skript ausgeführt werden, so dass alle benutzerdefinierten Themen in einem Rutsch fixiert werden. Kopieren Sie das Skript auf Citrix ADC und führen Sie es mit dem folgenden Befehl aus:

shell# python fix_RfWebUI_CustomThemes.py
Permanente Fixes für CVE-2019-19781 verfügbar

Permanente Fixes für CVE-2019-19781 verfügbar

by | Jan 25, 2020 | INFO

Letzte Aktualisierung: Samstag-25.1.2020 – 20:15
Version: 1.0

Permanete Fixes für Citrix ADC verfügbar

Die Fixes sind für alle Citrix ADC/Gateway Virtual Appliances (VPX, und Citrix ADC Service Delivery Appliances (SDX) verfügbar.

Verfügbare Versionen

Seit Freitag ebenfalls verfügbar:

  • Citrix ADC (10.5, 11.1, 12.0, 12.1, and 13.0)
  • Citrix Gateway (10.5, 11.1, 12.0, 12.1, and 13.0)
  • SD-WAN WANOP (10.2.6 and 11.0.3)

Alle Versionen können unter diesem Link heruntergeladen werden:

Zum Download…

Citrix ADC, Citrix Gateway WANOP appliance Security Update

Schwachstelle in Citrix NetScaler und Citrix Gateway

by | Jan 25, 2020 | ALARM

Letzte Aktualisierung: Samstag-25.1.2020 – 20:15
Version: 1.5

Problembeschreibung

In Citrix Application Delivery Controller (ADC), früher bekannt als NetScaler ADC und Citrix Gateway, wurde eine Schwachstelle entdeckt, die, wenn sie ausgenutzt wird, einem nicht authentifizierten Angreifer die Ausführung von beliebigem Code ermöglichen könnte.
Die Schwachstelle wurde mit der folgenden CVE-Nummer versehen: CVE-2019-19781

Betroffene Systeme

  • Citrix ADC und Citrix Gateway Version 13.0 alle unterstützten Builds
  • Citrix ADC und NetScaler Gateway Version 12.1 alle unterstützten Builds
  • Citrix ADC und NetScaler Gateway Version 12.0 alle unterstützten Builds
  • Citrix ADC und NetScaler Gateway Version 11.1 alle unterstützten Builds
  • Citrix NetScaler ADC und NetScaler Gateway Version 10.5 alle unterstützten Builds

Citrix Patch verfügbar

Citrix hat diese Woche begonnen die Patches für alle verfügbaren Version zu veröffentlichen. Es stehen nun für alle Citrix ADC Versionen, sowie Citrix SD-WAN ein Patch zum download zur Verfügung.

Weiter Informationen entnehmen Sie bitte dem nachfolgenden Artikerl.

Zum Artikel…

Wichtiger Nachtrag!

Bitte kontrollieren Sie ob bei Ihnen folgender Release zum Einsatz kommt:
Citrix ADC 12.1 51.16/51.19
Citrix ADC 12.1 50.31
Bei diesen beiden Versionen funktionieren die hier beschriebene Lösungsansatz NICHT! Bitte aktualisieren Sie auf die aktuelle 12.1 Version. Danach können Sie mit dem Workaround weiterfahren. Bitte beachten Sie, dass auch diese Version noch immer den eigentlichen Fehler beinhaltet.

Zum Download…

Ist mein System betroffen?

Die starke Medienpräsenz hat dazu geführt, dass sich die Angriffe potentiell erhöht haben. Da viele Systeme, die bis zum heutigen Tag noch nicht abgesichert wurden, tatsächlich gehackt wurden, besteht dringender Bedarf bei allen Betreibern eines Citrix ADC zu analysieren ob Sie betroffen sind und Gegenmassnahmen einzuleiten.

Ob Ihr ADC angreifbar ist, können Sie mittels eines simplen CURL Befehles feststellen

curl -v https://MeineGatewayURL.company.com/vpn/../vpns/cfg/smb.conf –path-as-is

Ausserdem wurden folgende Test Methoden beschrieben und veröffentlicht:
• https://github.com/projectzeroindia/CVE-2019-19781
• https://github.com/trustedsec/cve-2019-19781/
• https://support.citrix.com/article/CTX267027
• https://www.virustotal.com/gui/file/2052f1e7830e2d86a356a0532d3c2728b88d674a4384727ea7df1d3522a5ed05

Wurden vom Attacker CronTab Jobs hinterlegt?

Überprüfen Sie ob Angreifer auf Ihre  Cron-Jobs“ im BSD Zugriff erhalten haben um Zugriff auch  dann weiterhin zu erhalten nachdem  wenn die Lücke  behoben wurde. Überprüfen Sie Ihre Crontab-Datei:

cat /etc/crontab
crontab -l -u nobody

Finden Sie crontab jobs die unter dem Benutzer “nobody laufen” oder die sich nicht kennen und die dort nicht hingehören  so wurde Ihr System gehackt und Gegenmassnahmen müssen getroffen werden.

Überprüfen Sie Ihre HTTP access logs ob Verdächtige Zugriffe stattgefunden haben:

Mithilfe der folgenden Befehle können Sie Überprüfen ob Ihr System kompromittiert wurde:

gzcat /var/log/httpaccess.log.*.gz | grep vpns | grep xml
gzcat /var/log/httpaccess.log.*.gz | grep “/\.\./”
cat /var/log/httpaccess.log | grep vpns | grep xml
cat /var/log/httpaccess.log | grep “/\.\./”

Sehen Sie verdächtige .xml uploads in den Logs oder sehen Sie Zugriffe die in den URLs /../ enthalten, so wurde Ihr System attackiert und Gegenmassnahmen müssen dringend ergriffen werden.

Überprüfen der Template Dateien:

Die am häufigsten gesehene Attacke kann nachgewiesen werden, indem überprüft wird, ob verdächtige .xml Dateien auf Ihren ADC hochgeladen wurden.

Mit Hilfe der folgenden Befehle können Sie das überprüfen:

ls -lh /var/vpn/bookmark/*.xml
ls -lh /netscaler/portal/templates/*.xml
ls -lh /var/tmp/netscaler/portal/templates

Finden Sie in den Verzeichnissen verdächtige .html, .html.ttc2 oder andere Dateien die dort nicht liegen sollten 
so wurde Ihr System attackiert und Gegenmassnahmen müssen dringend ergriffen werden.

Überprüfen ob Backdoor Skripte  Implementiert wurden:

Backdoor Skripten oder anderen böswilligen Aufgaben können  als Perl- oder Python-Skript Ihr System Infizieren.
So überprüfen Sie, ob aktive Perl- oder Python-Tasks ausgeführt werden:

ps -aux | grep python
ps -aux | grep perl

Überprüfen ob fremde Dienste oder Crypto Miner  Implementiert wurden:

In einigen Fällen wurde versucht Crypto Miner und andere Dienste zu installieren.
Sie können diese identifizieren, indem Sie sich die CPU-intensiven Prozesse ansehen und bewerten:

top -n 10

Sollten Sie andere Prozesse als NSPPE-00, NSPPE-01, NSPPE-002 NSPPE-03, NSPPE-04, NSPPE-05 sehen, die eine hohe CPU-Auslastung aufweisen,
so haben Sie möglicherweise einen Crypto Miner gefunden!

Problembehebung

Die folgenden Konfigurationsänderungen dienen der Abschwächung der oben genannten Schwachstelle.

Standalone System

Führen Sie die folgenden Befehle über die Befehlszeilenschnittstelle der Appliance aus, um eine Responder-Aktion und -Richtlinie zu erstellen:

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\")) || http.req.header(\"NSC_USER\").Contains(\"/../\") || http.req.header(\"NSC_NONCE\").Contains(\".pl\")" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config .

Stellen Sie sicher, dass die Änderungen auch für die Management-Schnittstellen gelten. Führen Sie von der Kommandozeilenschnittstelle aus die folgenden Befehle aus.

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

HA Pair

On Primary:

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\")) || http.req.header(\"NSC_USER\").Contains(\"/../\") || http.req.header(\"NSC_NONCE\").Contains(\".pl\")" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config 
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

Auf dem sekundären System, nachdem das primäre System wieder erreichbar ist:

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot