Shitrix

Klingt dreckig - isses aber auch!

“Shit, Citrix!” wird wohl der ursprüngliche Ausruf gewesen sein. Zu “Shitrix” ist es da nur noch ein nachvollziehbarer Katzensprung. Ende 2019 fiel ein Netscaler (oder ADC) der Firma Citrix nach dem anderen um, da sie eine RCE-Schwachstelle (Remote Code Execution) aufwiesen, die sich trivial durch Angreifer ausnutzen ließ. Die Folge war, dass nicht nur die Netscaler in fremder Hand waren, sondern auch Zugangsdaten zu internen Systemen dabei abhanden kommen oder gar direkt Angriffe auf interne Infrastruktur gefahren werden konnte.

Altbekannter Angriffsweg, neu implementiert

Die Netscaler hatten im Web-Management-Interface zwei Schwachstellen, die den Zugriff auf eigentlich nicht zugänglichen Dateien im Dateisystem des Servers zuließen. Es handelte sich zum einen um eine sogenannte “Directory Traversal”-Lücke, mit der sich ein Angreifer Schritt für Schritt die Ordner im Dateisystem nach oben springen und von dort auf weitere Dateien zugreifen kann. Über diese Lücke konnte ein Angreifer direkt auf bestimmte Perl-Dateien zugreifen. In einer von diesen Dateien schlummerte eine weitere Sicherheitslücke, die es dem Angreifer erlaubte, eine weitere Datei zu erstellen, deren Inhalte teilweise unter der Kontrolle des Angreifers waren. Kopierte man diese Datei schließlich in eins der Perl Template-Verzeichnisse, wurde darin platzierter Code direkt im Kontext des Perl-Interpreters ausgeführt, was root-Zugriff auf die Maschine ermöglichte. Da hierfür keinerlei Anmeldung am System notwendig war, schossen sich bereits nach kürzester Zeit Angreifer auf diese Schwachstelle ein.

Directory Traversal-Schwachstellen sind lange bekannt und sollten eigentlich jedem Programmierer bekannt sein. Ab und zu schleichen sie sich dennoch in den Quellcode ein und erfreuen Angreifer von nah und fern. In Kombination mit einer Schwachstelle, die das Schreiben von Dateien erlaubt, sind sie eine Garantie für jede Menge Chaos.

Netscaler müde, Netscaler schlafen…

Für einmal kompromittierte Netscaler gab es eigentlich nur die Option des Gnadenschusses. Nachzuvollziehen, was auf dem betroffenen System im Detail durch die Angreifenden verändert wurde, erforderte eine zeitaufwändige forensische Untersuchung, und selbst diese konnte oft keinen Aufschluss darüber geben, ob eine verfügbare Verbindung ins interne Netzwerk ausgenutzt wurde oder ob Zugangsdaten, beispielsweise zum Active Directory, abgeflossen sind. Es stellte sich heraus, dass die Suche auf dem Domain Controller und anderen Systemen erfolgsversprechender war als auf dem Netscaler selbst. Dieser wurde oft erst für eine eventuelle spätere Untersuchung weggesichert und dann neu aufgesetzt - eine andere Möglichkeit, für einen sauberen Betrieb ohne Hintertüren auf dem Gerät selbst zu sorgen, gab es nicht.

Um die frisch installierten Netscaler nicht direkt wieder den Angreifern zu überlassen (Citrix ließ sich bis zum 21.01.2020 Zeit mit der Bereitstellung), mussten die Administratoren der knapp 40.000 betroffenen und mit im Internet erreichbaren Webinterface konfigurierten Netscaler selbst tätig werden. Citrix veröffentlichte noch im Dezember eine Anleitung, wie man die Server bis zur Verfügbarkeit eines Patches absichern konnte. Doch wie sich herausstellte, setzten nur wenige Verantwortliche die entsprechenden Maßnahmen um. Etwa ab September 2020 begannen die Angreifer, die ein dreiviertel Jahr zuvor kompromittierten und nicht bereinigten Systeme anzugreifen. Deutschlandweit waren zu diesem Zeitpunkt noch gut 200 ungepatchte Systeme online. Danach zu urteilen, wie viele Hilfsanfragen von Administratoren mit gepatchten, aber bereits zuvor mit einer Backdoor versehenen und nun nachträglich angegriffenen Systemen allein uns erreichten, war die Anzahl der unentdeckten Kompromittierungen um ein vielfaches höher.

Und es waren nicht kleine KMUs, die da wie die Fliegen gefallen sind (für die meisten dieser Unternehmen wäre ein Netscaler so oder so der Overkill gewesen). Das wohl prominenteste Beispiel war das Uniklinikum Düsseldorf, das nach der Folgeinfektion lange Zeit von der Notversorgung abgemeldet war (und dem bei der Umleitung an ein anderes Krankenhaus eine Patientin verstarb). Aber auch Behörden, Rettungsdienstleitstellen, weitere Krankenhäuser, Universitäten, Gemeindeverwaltungen, Landtage und viele Firmen.

Die Schuldfrage

Dass den Programmierern der Netscaler ein derartig vermeidbarer Fehler unterlief ist peinlich. Immerhin vertreibt Citrix mit diesen Geräten Sicherheitslösungen, die voraussetzen, dass die Programmierer wenigstens die Basics der sicheren Programmierung beherrschen und sich von den zahlreichen Tools unterstützen lassen, die derartige Fehler im Quellcode direkt entdecken. Dennoch hat Citrix nach Bekanntwerden der Shitrix-Sicherheitslücke immerhin schnell reagiert und Anleitungen zur Verfügung gestellt, um die Systeme erst einmal abzusichern und die Gefahr zu bannen.

Versagt haben hier tatsächlich hauptsächlich die meisten Administratoren, die entsprechende Geräte betrieben haben. Das Thema zu übersehen war nahezu unmöglich. In jeder Fachzeitschrift, in nahezu jeder Online-Redaktion für IT-Themen, sogar bei Fefe und natürlich in den Security Bulletins von Citrix selbst wurde es aufgegriffen. Also eigentlich das, was Administratoren sowieso jeden Tag konsumieren. Selbst die klassischen Medien griffen die Schwachstelle auf, nachdem Verwaltungen und Krankenhäuser aufgrund von Folgeangriffen gegen Ende des Jahres 2020 offline gingen.

Zeit genug also, das zu tun, was der Hersteller und viele Experten vorgaben: Auf Kompromittierung prüfen (das dauerte nur wenige Minuten), im Zweifel wegsichern, neu aufsetzen, updaten, absichern, Zugänge ändern, auf kompromittierte Infrastruktur prüfen. Arbeitsaufwändig, aber jede darin investierte Minute war es wert und ersparte einem das, was ansonsten zwangsläufig folgen musste. Leider drang diese Erkenntnis zu vielen erst durch, als es deutlich zu spät war.