Wie Sie hoffentlich bereits mitbekommen haben ist der Citrix ADC (Netscaler) von einer schweren Sicherheitslücke betroffen. Es gibt momentan nur einen Workaround um die Lücke zu schließen, den sollten Sie so schnell wie möglich anwenden, falls noch nicht geschehen.
Die Chance, dass Sie bereits angegriffen wurden ist leider relativ hoch.
Hier sind die Maßnahmen beschrieben
https://support.citrix.com/article/CTX267679
Der Patch von Citrix reicht allerdings nicht mehr aus, auf jeden Fall sollten Sie diese Responder Policy nehmen.
Responder Policy
enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\") || http.req.header(\"NSC_USER\").Contains(\"/../\") || http.req.header(\"NSC_NONCE\").Contains(\".pl\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell „echo ’nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0′ >> /nsconfig/rc.netscaler“
reboot
Sie können sich per SSH (Putty) auf den Netsaler verbinden und die Befehle ohne Anpassungen kopieren, einfügen und ausführen.
Bei einem HA Cluster ist entsprechend dem Artikel anders zu verfahren. Die Netscaler müssen neu starten.
So prüfen Sie ob ihr Netscaler betroffen ist.
Sie sollten auf jeden Fall prüfen, ob der Netscaler bereits kompromittiert wurde, das können Sie wie in diesem Artikel beschrieben tun:
Falls der Netscaler gehackt wurde, fahren Sie diesen sofort runter. Bitte auch bedenken, dass in bestimmten Fällen ein Sicherheitsvorfall meldepflichtig ist und Sie beweisen müssen, dass Sie angegriffen wurden.
Falls Sie ein Backup des Netscaler von Ende Dezember haben, so können Sie dieses zurückspielen und die Maßnahmen anwenden. Vorher aber ggf. die Logs sichern um den Vorfall zu dokumentieren.
Falls Sie Hilfe benötigen, können Sie sich natürlich an unsere Hotline wenden.
Gruß
Citrix Team S&L