Aufgrund einer weltweit koordinierten DDoS-Angriffswelle könnte Ihr Citrix HDX Remotezugang in Mitleidenschaft gezogen werden. Wenngleich nach aktuellem Kenntnisstand keinerlei erfolgreiche Einbruchsszenarien zu erwarten sind, entsteht dennoch der Effekt, dass das gewählte Kommunikationsmuster Ihre verfügbare Bandbreite der Internetleitung unplanmäßig beschneidet (bis zu 100% der verfügbaren Leitungskapazität). Aufgrund des Antwortverhaltens der Citrix ADC Appliance kann sich der DDoS-Effekt ungünstig erhöhen.

Voraussetzungen für die Ausnutzung des Bandbreiteneffektes ist der Betrieb einer Citrix ADC Appliance im sog. „EDT-kompatiblen“-Betriebsmodus, welcher für alle modernen Konfigurationen unlängst zum Einsatz kommt. Sie erkennen dies u.a. an einer vorhandenen Firewallregel, welche Kommunikation/NAT aus dem öffentlichen Internet zu den IP-Adressen Ihrer Citrix ADC Appliance mit Port 443 und dem Protokolltyp UDP zulässt.

Die effektivste Gegenmaßnahme besteht darin, auf Ihrer Firewall eingehenden Datenverkehr zur Citrix Appliance auf Port 443 im Protokolltyp UDP sofort zu blocken.

Jeder Citrix-Client (ICA-Client, Receiver, WorkspaceApp,…) schaltet automatisch auf TCP-basierten Transport zurück. Auf dieser Protokollebene ist der beobachtete Bandbreiteneffekt nicht anwendbar. Sie können also auch weiterhin in gewohntem Maß – auch über Weihnachten/Neujahr – auf Ihre Umgebung zugreifen.

Eine Rückkehr zum EDT-Betriebsmodus wird voraussichtlich nicht vor Januar möglich sein und bedarf einer technischen Anpassung durch den Hersteller.

Citrix hat eine Veröffentlichung mit zwei CVEs für Komponenten des Citrix VDA sowie der Citrix Universal Printserver Komponente bekanntgegeben.

Sowohl das BSI als auch Citrix kategorisieren die Sicherheitslücke mit der Priorität "hoch".

Betroffen sind folgende Produktversionen:

Citrix hat die Veröffentlichung und Kompatibilität der Hotfixes auf die o.g. LTSR-Versionen mit dem jeweils aktuellsten kumulativen Update beschränkt.

Die notwendigen Voraussetzungen unterscheiden sich wie folgt:

Current Release Versionen: Update VDA auf 2009

LTSR Version 1912: Mindestens CU1 + Hotfixes für die betroffenen VDA-Komponenten, sofern installiert

LTSR Version 7.15: Mindestens CU6 + Hotfixes für die betroffenen VDA-Komponenten, sofern installiert

LTSR Version 7.6: Mindestens CU9

Weitere Details zu den Veröffentlichungen finden Sie über folgende Ressourcen:

Citrix Artikel
https://support.citrix.com/article/CTX285059

BSI Warnmeldung
https://bit.ly/3jAlLVL

Gemäß den Informationen, welche den Links aus o.g. Quellen entnommen werden können, wird empfohlen die betroffenen Citrix Komponenten zu aktualisieren.

Citrix hat weitere Veröffentlichungen mit CVEs für Citrix ADC bekannt gegeben.

Im aktuellen Fall ist der Citrix ADC (ehem. Netscaler) mit folgenden CVEs gelistet: CVE-2020-8245, CVE-2020-8246, CVE-2020-8247 (mehr Informationen unter: https://support.citrix.com/article/CTX281474).
Diese CVEs wurden vom CERT-Bund mit dem Risiko "hoch" eingestuft: https://www.cert-bund.de/advisoryshort/CB-K20-0912.

Aus diesem Grund empfiehlt der Hersteller ein Update auf eine der folgenden Versionen:

Citrix ADC 13.0 - 64.35
Citrix ADC 12.1 - 58.15
Citrix ADC 11.1 - 65.12

Citrix hat eine Veröffentlichung mit einem CVE für die Citrix Workspace App bekannt gegeben.

Im aktuellen Fall ist ein CVE für die Citrix Workspace App gemeldet (https://support.citrix.com/article/CTX277662).
Es sind alle Versionen der Citrix Workspace App vor 1912 CU1 Hotfix1 betroffen (nicht der Citrix Receiver).

Dieser CVE wurde vom CERT-Bund mit dem Risiko "sehr hoch" eingestuft: https://bit.ly/3aGk7xr

Die BSI Beurteilung finden Sie unter: https://bit.ly/3rwnrlw

Gemäß den Informationen, welche den Links aus dem BSI Artikel entnommen werden können, wird empfohlen den Citrix Update Service (CitrixUpdaterSerice.exe) zu deaktivieren.

Grundsätzlich empfiehlt der Hersteller Citrix immer den Einsatz der aktuellsten Client Version.

WICHTIG! Bitte bedenken Sie, dass beim Update der Citrix Workspace App ggf. Abhängigkeiten zu eingesetzten Features berücksichtigt werden müssen.

Aktuellen Veröffentlichungen
(https://www.hisolutions.com/detail/ransomware-angriffe-als-folge-von-shitrix) zufolge, könnten aufgrund des im Januar veröffentlichten CVE-2019-19781 erstellte Backdoors nun ausgenutzt werden. 

Wir empfehlen dringend Ihre Netscaler ***erneut*** auf bekannte Anzeichen für eine Kompromittierung durch die Ausnutzung des CVE-2019-19781 zu überprüfen, um eventuelle "Schläfer-Situationen" in Folge einer unbemerkten Manipulation vor den ausgeführten Gegenmaßnahmen aus dem Januar 2020 ggf. noch zu identifizieren.

Die vorhandenen Überprüfungsmöglichkeiten und die Stellungnahme des Herstellers finden Sie unverändert und in nach wie vor gültiger Form hier: https://support.citrix.com/article/CTX267027 und hier: https://bit.ly/2O8Cwvj

Falls Sie zur konkreten Umsetzung unsere Unterstützung in Anspruch nehmen möchten, sprechen Sie uns bitte an.

Bedenken Sie darüber hinaus bitte, dass bei unklarer Informationslage grundsätzlich davon ausgegangen werden muss, die entsprechenden Systeme NEU aufzusetzen.

Am 23.07.2020 hat Citrix über kritische Sicherheitslücken für das Produkt Citrix XenMobile Server informiert.

Aktuell sind die onPremise Citrix XenMobile Server Instanzen mit einem noch nicht veröffentlichten CVE betroffen. Dieser wird von Citrix am 11.08.2020 veröffentlicht. Die XenMobile Cloud Variante wurde bereits von Citrix dahingehend angepasst.

Nach interner Rücksprache sind wir zu der Entscheidung gekommen, dass ein Upgrade auf die Version 10.12.0 Rolling Patch 3 (10.12.0.10324) erforderlich ist. (https://support.citrix.com/article/CTX277473)

Weitere Informationen zur Einschätzung dieses CVE liegen uns derzeit leider nicht vor.

checkmark-circle