1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Perl-Injection: Citrix-Geräte mit…

Ganz so heiß ist es nicht

  1. Thema

Neues Thema Ansicht wechseln


  1. Ganz so heiß ist es nicht

    Autor: 1st1 09.01.20 - 20:26

    Wer fix ist, hat, die vorgschlagenen Änderungen von Citrix schon umgesetzt, damit ist die Ausnutzung der Lücke schon erheblich schwerer.

    Aber um das Riskiko abzuschätzen, muss man erstmal verstehen, wie so ein Netscaler funktioniert, und wie die Netzwerkinfrastruktur drumgerum aussieht. Das Webinterface, mit dem man übers Internet kommuniziert, ist eine Art virtuelle Maschine, die aus Failover-Gründen auf mindestens 2 Netscalern parallel läuft, einer passiv, einer aktiv. Ein Durchbrechen auf die physischen (oder virtualisierten) Netscaler ist daraus nicht möglich. Das heißt, wenn man es tatsächlich schafft, auf den Netscaler einzubrechen und da Code auszuführen, kann man schon einiges machen, aber den Netscaler an sich zu administrieren geht von da nicht.

    Desweiteren werden Netscaler, die als VPN- oder Accessgateway für eine Citrix-Terminalsercver genutzt werden, in mit ihren intern Netzwerkschnittstellen in ein, besser zwei DMZ verteilt gehängt, Management in ein DMZ, die interne Netzwerkverbindung des virtuellen Anmelde-Webinterface bzw VPN-Gateway in ein anderes DMZ. Im Fall von VPN kann das schon kritisch sein, denn von hier sollen ja VPN-Clients ins interne Netz rein kommen. Im Fall von Webinterface für eine Citrix-Terminalserver-Farm ist es aber eher harmlos, denn hier reicht es, von der virtuelle Appliance HTTPS und ICA hin zu den Citrix-Terminalservern und zum Citrix-Storefront-Server auf zu machen. In dem Fall kommt man nicht wirklich weiter, solange man keine gültigen Anmeldeinformationen hat, und das wird wegen der üblichen Zweifaktor-Authentifikation per Username+Passwort+Pin+RSA-Code schon schwierig. Nach meiner Erfahrung werden die meisten Netscaler als Access-Gateway für eine CItrix-Terminalserver-Farm genutzt, VPN kommt eher selten zum Einsatz.

  2. Ausführbare injizierte Files

    Autor: M.P. 10.01.20 - 07:02

    in einer VM Gateway Appliance nicht "ganz so heiß"?

    - Honeypots zum Erbeuten eines Faktors der 2FA
    - Skript Kiddies, die im 5-Minuten Takt die Virtuelle Maschine schrotten...

    Auch, wenn das ausführbare File nicht aus der VM ausbrechen kann, könnte da schon ein beachtlicher Schaden entstehen ...

  3. Re: Ganz so heiß ist es nicht

    Autor: Recruit 10.01.20 - 07:10

    Trotzdem darf man nicht vergessen dass diese konstellation wie von dir beschrieben
    -nicht immer genau so aufgestellt ist
    -NetScaler trotzdem bei vielen Firmen zentraler Einstiegspunkt ins Firmennetzwerk ist.
    von daher ist sowas mit Vorsicht zu sehen..

  4. Re: Ganz so heiß ist es nicht

    Autor: 1st1 10.01.20 - 09:56

    Zentraler Einstiegspunkt auf Terminalserver.

  5. Re: Ausführbare injizierte Files

    Autor: 1st1 10.01.20 - 09:58

    Die Faktoren werden ja gehasht vom Netscaler an die jeweiligen Passwortvergleicher-Instanzen (Active Directory, RSA SecurID Appliance) durchgereicht. Und der RSA-Key ändert sich alle paar Sekunden, dafür hat man ja als Benutzer dieses Ding mit den 6 ständig wechselnden Ziffern am Schlüsselbund...

  6. Re: Ganz so heiß ist es nicht

    Autor: hayabusa 10.01.20 - 20:06

    Wir nutzen das Szenario mit den Terminal Servern und Citrix. Ich muss aber sagen das wir den Workaround nach bekannt werden sofort umgesetzt haben. Ich versteh auch nicht wie man das nicht mitbekommen haben kann. Citrix versteh ich auch nicht. Der überwiegende Teil so wie wir hat eine Subscription. Zumindest kann man an seine Kunden eine Security Advice schicken.

  7. Re: Ganz so heiß ist es nicht

    Autor: Unwichtig 14.01.20 - 12:02

    Workaround noch am Tag von der Citrix-Veroeffentlichung angewendet. Trotzdem haben Diagnosen gezeigt, dass da jemand drin rumgefummelt hat. Cronjob war erstellt, Payload konnte aber wohl irgendwie nicht eingespielt werden.

    Also so kalt finde ich das jetzt also nicht...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. CURRENTA GmbH & Co. OHG, Leverkusen
  2. Deutsche Rentenversicherung Bund, Berlin
  3. Regierung der Oberpfalz, Regensburg
  4. Sikla GmbH, deutschlandweit (Home-Office)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

  1. Spaceway-1: Defekter US-Fernsehsatellit könnte explodieren
    Spaceway-1
    Defekter US-Fernsehsatellit könnte explodieren

    Der US-Satellitenbetreiber DirecTV hat bei der US-Regulierungsbehörde FCC eine Sondergenehmigung beantragt, um einen Satelliten unverzüglich aus seiner Umlaufbahn zu entfernen. Das irreguläre Manöver soll verhindern, dass der Satellit explodiert und zu Weltraumschrott wird.

  2. Wireless-Komponenten: Broadcom erwartet 15 Milliarden US-Dollar dank Apple
    Wireless-Komponenten
    Broadcom erwartet 15 Milliarden US-Dollar dank Apple

    Eine auf dreieinhalb Jahre ausgelegte Partnerschaft mit Apple soll rund 15 Milliarden US-Dollar Umsatz für Broadcom generieren. Der Hersteller liefert WiFi-/Bluetooth-Module und RF-Frontends für Apples iPhones.

  3. 5G: USA drohen Großbritannien wegen Huawei
    5G
    USA drohen Großbritannien wegen Huawei

    Die USA sind mit ihrem neuen Geheimdienstmaterial zu Huawei in Großbritannien durchgefallen. Nun soll wirtschaftlicher Druck zum US-britischen Handelsabkommen helfen, dass Huawei bei 5G ausgeschlossen wird. Auch Entwicklungsländer sollen über Kredite einbezogen werden.


  1. 14:12

  2. 13:47

  3. 13:25

  4. 13:12

  5. 12:49

  6. 12:01

  7. 12:00

  8. 11:40