Exchange 0-day-Exploit 2022

Exchange 0-day-Exploit 2022

by | Sep 30, 2022 | ALARM, ctx_adc, microsoft

CVE-2022-41040, CVE-2022-41082

Security Bulletin | High 

Microsoft is investigating two reported zero-day vulnerabilities affecting Microsoft Exchange Server 2013, 2016, and 2019. The first vulnerability, identified as CVE-2022-41040, is a Server-Side Request Forgery (SSRF) vulnerability, while the second, identified as CVE-2022-41082, allows remote code execution (RCE) when PowerShell is accessible to the attacker.  

What Customers Should Do

To protect your on-prem Exchange you can bind a responder policy on the Citrix ADC contentswitch handling all the Exchange related traffic:

add responder policy rspol_exchange_zeroday_oct_22 "HTTP.REQ.URL.PATH.SET_TEXT_MODE(IGNORECASE).STARTSWITH(\"/autodiscover\") && HTTP.REQ.URL.PATH_AND_QUERY.SET_TEXT_MODE(IGNORECASE).REGEX_MATCH(re/.*autodiscover\\.json.*\\@.*Powershell.*/)" RESET

Update 05.10.2022 (https://www.heise.de/news/Exchange-0-Day-Microsoft-korrigiert-Workaround-7284241.html):

add responder policy rspol_exchange_zeroday_oct_22 "HTTP.REQ.URL.PATH.SET_TEXT_MODE(IGNORECASE).STARTSWITH(\"/autodiscover\") && HTTP.REQ.URL.PATH_AND_QUERY.SET_TEXT_MODE(IGNORECASE).REGEX_MATCH(re/.*autodiscover\\.json.*.*Powershell.*/)" RESET

Bind this responder to the Exchange contentswitch.

Customers whose internal traffic flows directly to the Exchange servers should also implement the suggested mitigations described here: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

At the moment Citrix has not released any official WAF signatures.

In case you need help please open a ticket in your AXACOM Support Portal.

Exchange 0-day-Exploit 2022

CVE-2021-44228 Citrix Security Advisory for Apache (Log4j RCE 0-day mitigation)

by | Dez 14, 2021 | ALARM

UPDATE 23.12.2021, 15:10 Uhr

Aufgrund eines weiteren CVE’s (CVE-2021-45105) bezüglich der Log4j Schwachstelle hat Citrix erneut Updates für XenMobile Server herausgebracht, s. https://support.citrix.com/article/CTX335705

Updates für diese Versionen stehen zum Download bereit:

XenMobile Server 10.14 RP3: https://support.citrix.com/article/CTX335897

XenMobile Server 10.13 RP6: https://support.citrix.com/article/CTX335875

XenMobile Server 10.12 RP11: https://support.citrix.com/article/CTX335861

Dieses Update sollte schnellstmöglich installiert werden.

UPDATE 16.12.2021, 10.50 Uhr

Für Citrix Endpoint Management (Citrix XenMobile Server) steht ein Update bereit, welches die Log4j Schwachstelle fixt. Bitte so schnell wie möglich das RP2 für XenMobile Server 10.14 installieren: https://support.citrix.com/article/CTX335763

RP5 für XenMobile Server 10.13 wird in Kürze ebenfalls zum Download bereitstehen, der KB Artikel ist bereits online: https://docs.citrix.com/en-us/xenmobile/server/release-notes/release-notes-10-13-rolling-patch-5.html

Der Download für XenMobile Server 10.13 RP5 ist online: https://support.citrix.com/article/CTX335753

In der Dokumentation zu den Rollup Patches findet sich aktuell noch kein Hinweis auf die Log4j Schwachstelle. Von Citrix kam aber folgende Info:

Fixes in This Public Release

  1. On XenMobile Server, you observe high CPU utilization on server nodes in peak hour.

[From xms_10.14.0.10206.bin] [CXM-102568]

  1. OnPrem 10.14 RP2 – Upgrade log4j (Remote Code Execution zero-day)

[From xms_10.14.0.10206.bin] [CXM-102844]

  1. 10.14 RP2 – Remove log4j1.x of Kafka (used in GoogleAnalytics) and upgrade log4j2.x to 2.16.0

[From xms_10.14.0.10206.bin] [CXM-102878]

Original Artikel

Am 09.12.2021 wurde der CVE-2021-44228 publiziert. In diesem geht es um eine Sicherheitslücke im log4j. Die Schwachstelle ist in jeder Version vom log4j enthalten und betrifft zum Grossteil Java Applikationen. In Version log4j 2.15.0 wurde diese Schwachstelle behoben.

Hierzu gibt es den folgenden Citrix Security Advisor Artikel:
https://support.citrix.com/article/CTX335705

Citrix Produkte wie

  • Citrix ADC (NetSacler)
  • Citrix ADM (Citrix MAS)
  • Citrix Gateway
  • Citrix Hypervisor (XenServer)
  • Citrix ShareFile Storage Zones Controller
  • Citrix Workspace App
  • App Layering, Delivery Controller, Director, FAS, HDX, Profile Management, PVS, Session Recording, Storefront, Studio, Windows VDA, WEM
  • Citrix License Server
  • Citrix SD-WAN 

sind nicht von der Schwachstelle betroffen.

Die folgenden Produkte sind bei Citrix noch in der Überprüfung:

  • Citrix Endpoint Management (Citrix XenMobile Server) 
  • Citrix Virtual Apps and Desktops (XenApp & XenDesktop) alle anderen Komponenten

Bei Verwendung der Citrix Web Application Firewall auf dem Citrix ADC (NetScaler) können Applikationen mittels der Web Application Firewall Signaturen gegen diese Schwachstelle geschützt werden. Dazu müssen die Signaturen von Hand aktualisiert werden:





Aktivieren der Signaturen:




Als Alternative, wenn das AppFW Feature nicht lizensiert wurde, kann der Schutz auch mittels Responser Policies gewährleistet werden, hierzu gibt es den folgenden GitHub Eintrag, welcher von den Mitgliedern des Citrix PTEC zur Verfügung gestellt wurde:
https://github.com/mbp-netscaler/ADC

Die Application Firewall Signaturen und die Responder Policies bieten aber keine 100% Sicherheit, daher wird empfohlen, log4j zu aktualisieren oder mindestens den folgenden Eintrag zu setzen: “log4j2.formatMsgNoLookups” auf “true” zu setzen.

https://github.com/Puliczek/CVE-2021-44228-PoC-log4j-bypass-words

Exchange 0-day-Exploit 2022

NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2021-11 nicht mehr

by | Nov 12, 2021 | ALARM

Kunden die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Nov. Update ein Problem. Kerberos mit dem NetScaler funktioniert danach nicht mehr.

Microsoft aktiviert mit dem Update einen neuen Security Mechanismus, s. https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041, mit dem der NetScaler aktuell nicht umgehen kann.

Folglich funktionieren KCD und Kerberos Impersonation nicht mehr.

Das Deaktivieren der neuen Sicherheitsrichtlinie via Registry Key hilft nicht. Momentan bleibt einzig ein Rollback des Windows Updates auf den Stand 2021-10.

Momentan existiert noch keine Lösung. Bis auf weiteres sollten Kunden das Nov. Update nicht auf den Domain Controllern einspielen, wenn sie Kerberos via NetScaler benötigen.

Sobald eine Lösung existiert, wird dieser Artikel aktualisiert.

UPDATE:

Microsoft hat ein Out-of-Band Update bereitgestellt, welches die genannten Probleme behebt. Dieses Update wird allerdings NICHT via Windows Update verteilt, sondern steht nur im Microsoft Update Catalog zum Download bereit. Es muss also manuell heruntergeladen und auf den Domain Controllern installiert werden. Direkte Download Links sind hier zu finden:

The complete list of out-of-band updates released by Microsoft over the weekend includes:

Exchange 0-day-Exploit 2022

CVE-2021-22955, CVE-2021-22956 – DOS Angriffe auf NetScaler

by | Nov 9, 2021 | ALARM

Citrix hat heute ein neues Security Bulletin veröffentlicht. Es gibt zwei neue Schwachstellen in allen NetScaler Versionen, welche eine Denial of Service Attacke ermöglichen. Eine der Schwachstellen wurde mit dem Status «Critical» versehen, da sie sich ohne Authentifizierung vom Internet aus ausnutzen lässt.

CVE-ID  Description  CWE  Affected Products  Pre-conditions Criticality 
CVE-2021-22955 Unauthenticated denial of service  CWE-400: Uncontrolled Resource Consumption Citrix ADC, Citrix Gateway Appliance must be configured as a VPN (Gateway) or AAA virtual server Critical 
CVE-2021-22956 Temporary disruption of the Management GUI, Nitro API and RPC communication CWE-400: Uncontrolled Resource Consumption Citrix ADC, Citrix Gateway, Citrix SD-WAN WANOP Edition Access to NSIP or SNIP with management interface access Low 

Was ist zu tun

Citrix stellt für alle supporteten Linien aktualisierte Versionen bereit:

  • Citrix ADC and Citrix Gateway 13.1-4.43 and later releases of 13.1 
  • Citrix ADC and Citrix Gateway 13.0-83.27 and later releases of 13.0 
  • Citrix ADC and Citrix Gateway 12.1-63.22 and later releases of 12.1 
  • Citrix ADC and NetScaler Gateway 11.1-65.23 and later releases of 11.1 
  • Citrix ADC 12.1-FIPS 12.1-55.257 and later releases of 12.1-FIPS 

Download unter https://www.citrix.com/downloads/citrix-adc.html

Zum Abdichten der Schwachstelle CVE-2021-22956 ist ausserdem eine manuelle Konfiguration notwendig, s. https://support.citrix.com/article/CTX331588

ACHTUNG:

Das Update von Firmware Versionen kleiner, oder gleich 12.1.59.x, bzw. 13.0.64.35 führt dazu, dass der SSO für viele Anwendungen nicht mehr funktioniert. Vor dem Update sollte daher unbedingt folgender Citrix eDocs Artikel gelesen werden: Enable SSO for Basic, Digest, and NTLM authentication (citrix.com)

In NetScaler 13.1.4.43 sind Classic Policies nicht mehr supportet. Vor einem Update auf 13.1.x sollte daher unbedingt eine vorherige Überprüfung der NetScaler Konfiguration durchgeführt werden, s. Classic Policy Deprecation FAQs

Citrix SDWAN Center Security Update

Citrix SDWAN Center Security Update

by | Nov 11, 2020 | INFO

Description of Problem

Multiple vulnerabilities have been discovered in Citrix SD-WAN Center that, if exploited, could allow an unauthenticated attacker with network access to SD-WAN Center to perform arbitrary code execution as root.

These vulnerabilities have the following identifiers:

CVEDescriptionVulnerability TypePre-conditions 
CVE-2020-8271 Unauthenticated remote code execution with root privilegesCWE-23: Path TraversalAn attacker must be able to communicate with SD-WAN Center’s Management IP/FQDN
CVE-2020-8272Authentication Bypass resulting in exposure of SD-WAN functionalityCWE-287: Improper AuthenticationAn attacker must be able to communicate with SD-WAN Center’s Management IP/FQDN
CVE-2020-8273Privilege escalation of an authenticated user to rootCWE-78: Improper Neutralization of Special Elements used in an OS Command (‹OS Command Injection›)The attacker must be an authenticated user on SD-WAN Center

The following supported versions of Citrix SD-WAN Center are affected by these issues:

  • Citrix SD-WAN 11.2 before 11.2.2
  • Citrix SD-WAN 11.1 before 11.1.2b
  • Citrix SD-WAN 10.2 before 10.2.8

Other versions are now End of Life and no longer supported.

Mitigating Factors

Citrix SD-WAN Center is an internal management platform for Citrix SD-WAN and access to Citrix SD-WAN Center is likely to be restricted.

What Customers Should Do

The issues have been addressed in the following versions of Citrix SD-WAN Center: 

  • Citrix SD-WAN 11.2.2 and later versions of Citrix SD-WAN 11.2 
  • Citrix SD-WAN 11.1.2b and later versions of Citrix SD-WAN 11.1
  • Citrix SD-WAN 10.2.8 and later versions of Citrix SD-WAN 10.2 

Affected customers are strongly recommended to immediately update their deployments.

The latest versions of Citrix SD-WAN Center are available at: https://www.citrix.com/en-gb/downloads/citrix-sd-wan/

Acknowledgements

Citrix would like to thank Ariel Tempelhof of Realmode Labs for working with us to protect Citrix customers.

What Citrix Is Doing

Citrix is notifying customers and channel partners about this potential security issue. This article is also available from the Citrix Knowledge Center at  http://support.citrix.com/.

Obtaining Support on This Issue

If you require technical assistance with this issue, please contact Citrix Technical Support. Contact details for Citrix Technical Support are available at  https://www.citrix.com/support/open-a-support-case.html

Reporting Security Vulnerabilities

Citrix welcomes input regarding the security of its products and considers any and all potential vulnerabilities seriously. For guidance on how to report security-related issues to Citrix, please see the Citrix Trust Center at https://www.citrix.com/about/trust-center/vulnerability-process.html