CitrixBleed-Angriffe

Was ist CitrixBleed? 

Sicherlich haben Sie schon von der Zero-Day-Ausnutzung der Sicherheitslücke CitrixBleed (vollständiger Name CVE-2023-4966) gehört. Sie trägt den Spitznamen CitrixBleed, weil die Schwachstelle dafür verantwortlich ist, dass sensible Daten aus dem Speicher von NetScaler-Appliances, einschließlich Sitzungscookies, entweichen. Diese Schwachstelle wurde in jüngster Zeit bei vielen aufsehenerregenden Session-Hijacking-Angriffen in freier Wildbahn ausgenutzt. Kein Wunder also, dass wir darüber schreiben!

Was müssen Sie wissen? In diesem Artikel gehen wir darauf ein, was passiert ist, wer betroffen war, warum es passiert ist und vor allem, wie Sie Ihre eigenen Systeme und Netzwerke schützen können.

CitrixBleed. Was ist passiert?

Alles begann mit der Ankündigung eines neuen Patches zur Behebung der aus der Ferne ausnutzbaren Sicherheitslücke CitrixBleed. Böswillige Akteure konnten sofort sehen, was sich mit dem Patch-Update geändert hatte, und waren daher in der Lage, alle Geräte anzugreifen, die noch nicht aktualisiert worden waren.

Es wird vermutet, dass vier Hauptgruppen an diesen Angriffen arbeiten, darunter die Ransomware-Gang Medusa und die in Russland ansässige Gruppe LockBit. Experten zufolge sind die Angriffe von relativ geringer Komplexität. Sie sind einfach zu starten, bringen den kriminellen Banden aber große Gewinne ein, von denen einige behaupten, dass sie bereits Lösegeld erhalten haben.

Palo Alto's Unit 42 berichtet: "...unsere Forscher beobachteten fast 8.000 IP-Adressen, die für eine verwundbare Version von NetScaler Gateway und 6.000 IPs, die für NetScaler ADC-Geräte warben. Die größte Anzahl (3.100) dieser Geräte befindet sich in den Vereinigten Staaten, 800 in Deutschland, 450 in China und 400 in Großbritannien."

Was sind die Auswirkungen der CitrixBleed-Angriffe?

Es gab mehrere erfolgreiche Angriffe auf CVE 2023 4966, die in allen Fällen zu einer vollständigen Übernahme von legitimen Benutzersitzungen auf NetScaler ADC und anderen Gateway-Appliances führten. Ähnlich wie bei einem Adversary in the Middle (AiTM)-Angriff verwendeten die Hacker Session-Cookies (vorauthentifizierte Token), um die Verwendung von Passwörtern und den Prozess der Multi-Faktor-Authentifizierung (MFA) zu umgehen.

Nach Angaben von Mandiant wurden unter anderem folgende Taktiken, Techniken und Verfahren (TTP) nach der Ausnutzung identifiziert:

• Erkundung von Hosts und Netzwerken
• Sammeln von Umweltbelegen
• Seitliche Bewegung über das Remote-Desktop-Protokoll (RDP)
• Erkundung des Active Directory 

Mandiant weist auch auf Probleme mit der Anzahl der auf NetScaler verfügbaren Protokolle hin, die eine Untersuchung erschweren:

‍

Wer ist von der CitrixBleed-Sicherheitslücke betroffen?

Unter den 20.000 betroffenen Nutzern befinden sich Opfer aus allen Branchen und einige bekannte Namen.

Die kriminelle Bande LockBit behauptet, in die US-Filiale der Industrial and Commercial Bank of China (ICBC) eingedrungen zu sein und von der Organisation ein Lösegeld erhalten zu haben, da die Bank aufgrund der akuten Störung durch ihren Angriff nicht mehr in der Lage war, Gelder abzuheben. Die Bank hat dies noch nicht bestätigt, räumt aber die Sicherheitsverletzung ein. Die ICBC ist nicht allein. Zu den anderen betroffenen Unternehmen gehören Organisationen wie Boeing, DP World und Allen & Overy.

Abhilfe und Lösungen

1. Das allererste, was jedes Unternehmen tun sollte, wenn es die allgegenwärtigen Gateways verwendet, ist die Installation des Patches! Es gibt mehrere betroffene Geräte. 
2. Als Nächstes wird Anmeldedaten für Identitäten widerrufen, die über den anfälligen NetScaler ADC oder Gateway Zugriff auf Ressourcen haben. 

Laut dem Update von Mandiant "sollten Organisationen die Rotation von Anmeldeinformationen für eine größere Anzahl von Identitäten priorisieren, wenn der Fernzugriff auf Ressourcen aus dem Internet mit Einzelfaktor-Authentifizierung (SFA) erlaubt ist."

Hier macht AuthN von IDEE einen entscheidenden Unterschied. Es schützt den Fernzugriff genauso wie andere Zugangskanäle mit bestmöglicher Sicherheit und phish-proof MFA. Nach einer Sicherheitsverletzung müssen die Zugangsdaten nicht ausgetauscht werden, da es keine Zugangsdaten gibt, die ein Angreifer stehlen könnte.

Um zu überprüfen, ob Ihre Hardware betroffen ist, und um weitere Informationen zu erhalten, besuchen Sie:

https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
https://www.cisa.gov/guidance-addressing-citrix-netscaler-adc-and-gateway-vulnerability-cve-2023-4966-citrix-bleed

Um mehr darüber zu erfahren, wie AuthN von IDEE Ihrer Organisation helfen kann, kontaktieren Sie uns bitte. Sie können auch das Phish-proof-Whitepaper lesen, das die AuthN-Architektur erläutert und erklärt, warum und wie AuthN eine phish-proof MFA ist, die ohne zusätzliche Agenten eingesetzt werden kann und den Nutzern eine Möglichkeit bietet, sich einfach auf einem einzigen Gerät zu authentifizieren. 

‍