Wie Sie hoffentlich bereits mitbekommen haben ist der Citrix ADC (Netscaler) von einer schweren Sicherheitslücke betroffen. Es gibt momentan nur einen Workaround um die Lücke zu schließen, den sollten Sie so schnell wie möglich anwenden, falls noch nicht geschehen.

Die Chance, dass Sie bereits angegriffen wurden ist leider relativ hoch.

Hier sind die Maßnahmen beschrieben

https://support.citrix.com/article/CTX267679

Der Patch von Citrix reicht allerdings nicht mehr aus, auf jeden Fall sollten Sie diese Responder Policy nehmen.

Responder Policy

enable ns feature responder add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\"" add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\") || http.req.header(\"NSC_USER\").Contains(\"/../\") || http.req.header(\"NSC_NONCE\").Contains(\".pl\"))" respondwith403 bind responder global ctx267027 1 END -type REQ_OVERRIDE save config shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0 shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler" reboot shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0 shell “echo ‘nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0’ >> /nsconfig/rc.netscaler” reboot

Sie können sich per SSH (Putty) auf den Netsaler verbinden und die Befehle ohne Anpassungen kopieren, einfügen und ausführen.

Bei einem HA Cluster ist entsprechend dem Artikel anders zu verfahren. Die Netscaler müssen neu starten.

So prüfen Sie ob ihr Netscaler betroffen ist.

Sie sollten auf jeden Fall prüfen, ob der Netscaler bereits kompromittiert wurde, das können Sie wie in diesem Artikel beschrieben tun:

Falls der Netscaler gehackt wurde, fahren Sie diesen sofort runter. Bitte auch bedenken, dass in bestimmten Fällen ein Sicherheitsvorfall meldepflichtig ist und Sie beweisen müssen, dass Sie angegriffen wurden.

Falls Sie ein Backup des Netscaler von Ende Dezember haben, so können Sie dieses zurückspielen und die Maßnahmen anwenden. Vorher aber ggf. die Logs sichern um den Vorfall zu dokumentieren.

Falls Sie Hilfe benötigen, können Sie sich natürlich an unsere Hotline wenden.

Gruß

Citrix Team S&L

 

SUPPORT
X
X