Monate nach dem Auftauchen der kritischen Sicherheitslücke im Citrix Application Delivery Controller (ADC) und NetScaler Gateway (CVE-2019-19781, auch als “Shitrix“ bekannt) werden nun immer mehr Fälle bekannt, in denen die Lücke sehr früh ausgenutzt, jedoch erst sehr viel später lukrativ verwendet wurde bzw. aktuell wird.
Unsere Incident Responder stellten dabei fest, dass im kritischen Zeitraum Anfang 2020 in einigen Fällen Backdoors installiert worden sind, welche nun, 8 Monate später, durch Ransomware-Angriffe aktiv ausgenutzt werden. Hierbei haben die Angreifer sich oft noch nicht einmal die Mühe gemacht, die bekannten Proof-of-Concepts der Gruppe „Project Zero India“ anzupassen. So wurde in den uns bekannten Fällen der Benutzer „pwnpzi1337“ angelegt, welcher im ursprünglichen PoC verwendet wurde.
Die späteren Aktionen ähnelten dann wiederum den typischen Angriffsmustern der aktuellen Kampagnen. Network Discovery, Verbreitung im Netz (beispielsweise mittels Dridex oder Cobalt-Strike), Datenabfluss und nachgelagert die Verschlüsselung der Daten mit z.B. DoppelPaymer.
Es gibt jedoch eine Vielzahl weiterer denkbarer Malware-Varianten auf dem Markt. Aufgrund der aktuellen Angriffswellen wird jedem Administrator und Systemverantwortlichen dringend empfohlen, speziell seine Citrix NetScaler Systeme noch einmal genau zu prüfen, insbesondere auf mögliche neue Benutzer oder auffällige Netzwerkaktivität. Ein Blick in den Ordner /var/vpn/bookmark wird in jedem Fall empfohlen, da hier die vom Angreifer eingeschleusten XML-Dateien zu finden sind.
Als schnelle Prüfung auf eine mögliche Kompromitierung hat sich die Anleitung unter
http://deyda.net/index.php/en/2020/01/15/checklist-for-citrix-adc-cve-2019-19781
als hilfreich erwiesen.
Sofern Zweifel an der Integrität der Systems bestehen, empfehlen unsere Forensik Experten das Neuaufsetzen des Systems, welches das Standardvorgehen bei Ransomware-Attacken ist. Gerne verweisen wir hierbei auch auf die Empfehlungen des BSI, welches diese sehr gut zusammengefasst hat. Bereits im Januar 2020 hat das BSI eine Citrix-Schwachstellenwarnung (siehe CSW-Nr. 2020-172597-1531, Version 1.5, 30.01.2020) herausgegeben, welche beispielweise die folgenden Maßnahmen enthält:
Die Allianz für Cybersicherheit hat noch weitere Maßnahme empfohlen. Wichtig zu erwähnen ist in diesem Fall auch, dass die Angreifer sich potenziell monatelang unbemerkt im Netzwerk bewegen konnten und damit die Integrität auch länger zurückliegender Backups gefährdet sein könnte. Hier ist besondere Vorsicht beim Restore betroffener Systeme gegeben.
Anfang August 2020 waren immer noch ca. 200 verwundbare Citrix-Systeme in Deutschland aus dem
Internet erreichbar (https://twitter.com/certbund/status/1291017699351580675). Die Dunkelziffer der Systeme, welche abgesichert sind, aber bereits eine Backdoor implementiert haben, lässt sich nicht beziffern.
Weiterhin gehen fast täglich Fälle von Ransomware in Microsoft Office-Dokumenten ein.