Warnung: Aktuelle Ransomware-Angriffe als Folge von Shitrix

Monate nach dem Auftauchen der kritischen Sicherheitslücke im Citrix Application Delivery Controller (ADC) und NetScaler Gateway (CVE-2019-19781, auch als “Shitrix“ bekannt) werden nun immer mehr Fälle bekannt, in denen die Lücke früh ausgenutzt, jedoch erst sehr viel später lukrativ verwendet wurde bzw. aktuell wird.

Unsere Incident Responder stellten dabei fest, dass im kritischen Zeitraum Anfang 2020 in einigen Fällen Backdoors installiert worden sind, welche nun, 8 Monate später, durch Ransomware-Angriffe aktiv ausgenutzt werden.

Details im HiSolutions Advisory von Folker Schmidt und Daniel Jedecke.

Warning: Current Ransomware Attacks As a Result of Shitrix

By Folker Schmidt and Daniel Jedecke

Months after the appearance of the critical vulnerability in Citrix Application Delivery Controller (ADC) and NetScaler Gateway (CVE-2019-19781, also known as “Shitrix”), more and more cases are now becoming known where the vulnerability was exploited very early on, but was not used for extortion until much later, and ongoing.

Our incident responders found that in a critical period in early 2020, backdoors were installed in some cases, which are actively exploited now, 8 months later, for ransomware attacks. In many cases, the attackers have not even bothered to adapt the known proofs-of-concept of the “Project Zero India” group. In the cases known to us, the user “pwnpzi1337” was created, which was used in the original PoC.

The subsequent steps of the attack are basically the same as they were before, network discovery, lateral movement within the network (for example using Dridex or Cobalt-Strike), data exfiltration, and later encryption of the data e.g. via DoppelPaymer.

However, there is a multitude of other conceivable malware variants on the market. Due to the current wave of attacks, every administrator and system administrator is strongly recommended to check their Citrix NetScaler systems in particular for possible new users or conspicuous network activity. A check of the folder /var/vpn/bookmark is definitely recommended, since the XML files smuggled in by the attacker can be found there. As a quick check for possible compromise, the instructions under http://deyda.net/index.php/en/2020/01/15/checklist-for-citrix-adc-cve-2019-19781 have proved to be helpful.

If there is any doubt about the integrity of the system, our forensic experts recommend rebuilding the system, which is the standard procedure for ransomware attacks. We are happy to refer to the recommendations of the German BSI (Federal Cyber Security Agency). Back in January 2020, the BSI issued a Citrix vulnerability warning (see CSW No. 2020-172597-1531, Version 1.5, 30.01.2020 and https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2020/Citrix_Schwachstelle_160120.html), which contains, among other helpful bits, the following measures:

  • Disconnection from network of the compromised Citrix instance
  • Backup of the old Citrix instance (entire system, or at least the log files under /var/log/*)
  • Restart of Citrix instance with the latest build of the respective version branch and implementing the workaround (workaround recommendation when no patches were available yet)
  • Creation of new SSL/TLS certificates, recall of old SSL/TLS certificates
  • Resetting of all Windows Active Directory passwords if the Citrix user group cannot be restricted
  • Depending on the network connection, check the Windows domain for further compromises
  • If wildcard SSL certificates (*.example.com) were used on a compromised Citrix system, all other systems using the wildcard certificate must be taken into account in the certificate exchange mentioned above.

Citrix administrators should always subscribe to Citrix security bulletins with notices of new firmware versions to receive information about new firmware updates

The German Alliance for Cyber Security has recommended further action. These can be found at https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/Ransomware/Ransomware_Massnahmenkatalog.html.

It is also important to note in this case that the attackers could potentially move around the network unnoticed for months, which could jeopardize the integrity of backups that have been made long ago. Special care must be taken here when restoring affected systems.

At the beginning of August 2020, still around 200 vulnerable Citrix systems in Germany were accessible from the Internet (https://twitter.com/certbund/status/1291017699351580675). The number of systems that are secured but have already implemented a backdoor cannot be quantified.

Don’t cry for me: REvil erpresst Telecom Argentina

Welche Auswirkung umfangreiche Berechtigungen innerhalb eines Netzwerks (z. B. als Domänenadministrator) in den Händen einer Schadsoftware haben können, erlebt derzeit Telecom Argentina nach einem Ransomware-Befall. Die Ransomware-Forderung stammt von der als REvil (oder Sodinokibi) bekannten Gruppe und zählt mit über 7,5 Millionen US-Dollar zu den höchsten Forderungen dieses Jahres. Methodisch verwendet die REvil-Gruppe populäre Schwachstellen wie “Shitrix“ oder in Pulse Secure VPNs, um über ungepatchte Gateways in Unternehmensnetzwerke einzudringen.

https://www.zdnet.com/article/ransomware-gang-demands-7-5-million-from-argentinian-isp/

When #Shitrix hits the Fan

Massenhafte Hacks via NetScaler

Reihenweise Unternehmen und Behörden fallen aktuell einer Lücke zum Opfer, die den besonders „schönen“ Spitznamen #Shitrix (offiziell CVE 2019-19781) erhalten hat. Benannt ist dieser nach dem amerikanischen Netzwerk-Ausrüster Citrix, der das Debakel durch einen Schusselfehler im weitverbreiteten Enterprise-Gateway ADC (Application Delivery Controller) ausgelöst hat – vielen auch bekannt unter dem Namen NetScaler. Bereits seit der ersten Januarhälfte erreichen die HiSolutions-Hotline immer neue Fälle, da teilweise Administratoren noch nichts von der Lücke gehört haben.

Ein erfolgreicher Angriff hat neben der Übernahme des Gateways selbst weiterhin zur Folge, dass nicht nur die klassischen Zugangsdaten wie SSH-Keys oder Klartext-Passwörter in Konfigurationsdateien als kompromittiert gelten müssen, sondern auch verschlüsselte LDAP-Passwörter in der NetScaler-Konfiguration, wodurch weitere Angriffe ins Netzwerk hinein möglich werden.

Zunächst war kein offizieller Patch erschienen, lediglich Workarounds, die nicht ganz trivial sind, nicht immer voll effektiv und nicht für alle Versionen funktionieren.

Das größte Problem bei #Shitrix ist – wenn nicht offensichtlich Folgeschäden wie Ransomware entstehen –, dass zunächst nicht klar ist, wie weit der Angriff gegangen ist. Allein die Analysen nehmen Zeit und Ressourcen in Anspruch. Nicht selten fahren Betroffene in der Zeit Teile ihrer Infrastruktur herunter, wie zuletzt mehrere Kommunen in Brandenburg.

Derweil scheinen sogenannte „NOTROBIN“-Robin-Hood-Hacker die Lücke auszunutzen, um sie zu schließen – leider nicht ohne vorher noch eine Backdoor zu installieren.

Hier ist eine Liste mit bekannten IOCs zu finden.

Um Systeme lediglich auf die Schwachstelle zu scannen, existiert ein Nmap-Skript.

MEDIEN:

Unser Kollege Manuel Atug hat sich dazu auch im Beitrag mit dem SWR zum Vorfall geäußert.

Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern? Manual Atug bei AG KRITIS.

UPDATE:

Ein paar erste Patches (nur für bestimmte Versionen) sind bereits erschienen.

UPDATE 2 (2020-01-27):

Nun sind die “finalen” Patches erschienen.