PoC, PoC, Who’s There? 12 Exploits für Cisco Security Manager

Auch Sicherheitssoftware ist nicht gefeit vor Schwachstellen – obwohl gerade hier das Schadenspotenzial beträchtlich sein kann. Für den Cisco Security Manager, eine Anwendung für „Enterprise-Class Security Management“, wurde nun gleich eine ganze Reihe von Schwachstellen bekannt – und direkt mit PoCs (Proofs of Concept, also Beispielen für die Ausnutzung der Schwachstelle) veröffentlicht. Das Scrollen durch die Codeschnipsel zeigt vor allem, wie leicht hier zum Teil kritische Angriffe wie Remote Code Execution (RCE) ausgeführt werden konnten.

https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e

When #Shitrix hits the Fan

Massenhafte Hacks via NetScaler

Reihenweise Unternehmen und Behörden fallen aktuell einer Lücke zum Opfer, die den besonders „schönen“ Spitznamen #Shitrix (offiziell CVE 2019-19781) erhalten hat. Benannt ist dieser nach dem amerikanischen Netzwerk-Ausrüster Citrix, der das Debakel durch einen Schusselfehler im weitverbreiteten Enterprise-Gateway ADC (Application Delivery Controller) ausgelöst hat – vielen auch bekannt unter dem Namen NetScaler. Bereits seit der ersten Januarhälfte erreichen die HiSolutions-Hotline immer neue Fälle, da teilweise Administratoren noch nichts von der Lücke gehört haben.

Ein erfolgreicher Angriff hat neben der Übernahme des Gateways selbst weiterhin zur Folge, dass nicht nur die klassischen Zugangsdaten wie SSH-Keys oder Klartext-Passwörter in Konfigurationsdateien als kompromittiert gelten müssen, sondern auch verschlüsselte LDAP-Passwörter in der NetScaler-Konfiguration, wodurch weitere Angriffe ins Netzwerk hinein möglich werden.

Zunächst war kein offizieller Patch erschienen, lediglich Workarounds, die nicht ganz trivial sind, nicht immer voll effektiv und nicht für alle Versionen funktionieren.

Das größte Problem bei #Shitrix ist – wenn nicht offensichtlich Folgeschäden wie Ransomware entstehen –, dass zunächst nicht klar ist, wie weit der Angriff gegangen ist. Allein die Analysen nehmen Zeit und Ressourcen in Anspruch. Nicht selten fahren Betroffene in der Zeit Teile ihrer Infrastruktur herunter, wie zuletzt mehrere Kommunen in Brandenburg.

Derweil scheinen sogenannte „NOTROBIN“-Robin-Hood-Hacker die Lücke auszunutzen, um sie zu schließen – leider nicht ohne vorher noch eine Backdoor zu installieren.

Hier ist eine Liste mit bekannten IOCs zu finden.

Um Systeme lediglich auf die Schwachstelle zu scannen, existiert ein Nmap-Skript.

MEDIEN:

Unser Kollege Manuel Atug hat sich dazu auch im Beitrag mit dem SWR zum Vorfall geäußert.

Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern? Manual Atug bei AG KRITIS.

UPDATE:

Ein paar erste Patches (nur für bestimmte Versionen) sind bereits erschienen.

UPDATE 2 (2020-01-27):

Nun sind die „finalen“ Patches erschienen.

Immer diese Chinesen? Backdoor in Cisco-Switches

Der amerikanische Netzwerkausrüster Cisco hat „versehentlich“ in seinem Nexus 9000-Switch, mit dem in der Cloud „SDN“ (Software Defined Networks“) gebaut werden, hart-codierte SSH-Schlüsselpaare verwendet. So kann jeder, der ein solches Gerät in der Hand hat, den privaten Schlüssel auslesen und sich damit in alle anderen Nexus weltweit einloggen, auf die er per IPv6 Zugriff hat – und zwar als root. Die Interpretation „extreme Fahrlässigkeit“ ist nicht um vieles besser als die der „absichtlichen Backdoor“.
https://www.theregister.co.uk/2019/05/02/cisco_vulnerabilities/