Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties
Submitter: Q

Een kwetsbaarheid in Citrix geeft cybercriminelen bij een succesvolle aanval de mogelijkheid om op afstand en op gebruikersniveau commando's uit te voeren op Citrix-servers.

De kwetsbaarheid is gepubliceerd door GnuCitizen, naar eigen zeggen een 'cutting-edge denktank' en een 'creatieve hackersorganisatie'. Om een aanval succesvol te laten verlopen moet een Citrix-gebruiker die deel uitmaakt van een ge´ntegreerd netwerk, ertoe overgehaald worden een speciaal gefabriceerd ica-bestand te openen. 'Het succes is afhankelijk van het feit dat het slachtoffer deel uitmaakt van een Citrix-ring, waardoor hij of zij pass-through-authenticatie kan uitvoeren', citeert Infoworld Petko D. Petkov van GnuCitizen.

Zodra verbinding wordt gemaakt, zal een slachtoffer ongemerkt op de Citrix-omgeving inloggen en enkele commando's uitvoeren die door de aanvaller zijn bepaald. De remote desktop kan bijvoorbeeld worden ge´nstrueerd om bestanden te downloaden van een tftp-server en deze lokaal uit te voeren. Na deze aanval wordt de verbinding verbroken en de Citrix-sessie ongedaan gemaakt. 'Er is geen interactie van de gebruiker vereist', aldus Petkov. Volgens hem zal het lastig worden de kwetsbaarheid op te lossen aangezien een aanval niet zozeer van lekken gebruik maakt als wel van features.

Moderatie-faq Wijzig weergave

Reacties (26)

men heeft een tftp verbinding nodig. Wat nou als de citrixomgeving geen internet toelaat? dan gaat het hele verhaal in een keer niet meer op. De meeste omgevingen die ik ken hebben geen inet of laten wel inet toe maar geen ftp verkeer :) Het heeft ook een user interactie nodig van iemand die in mag loggen op de omgeving, en dit is ook het grootste security risico dat een omgeving heeft, niet de hackers maar de gebruikers.
TFTP is heel iets anders dan FTP. TFTP gaat door middel van UDP en FTP gebruikt alleen TCP.
Het grote voordeel van TFTP is dat je met 1 commandoregel een bestand kan binnenhalen terwijl je bij FTP eerst een textbestand moet maken met commando's en vervolgens ftp met extra parameters uitvoeren.

Overigens zou ik het knap irritant vinden als ik een omgeving had met internet waar FTP geblocked zou zijn... Kan je een hoop zaken (waaronder ook werkgerelateerde PDF'jes) niet downloaden.
En waardoor is TFTP hier anders dan FTP? Als de Citrix farm geen internettoegang heeft gaat het verhaaltje nog steeds niet op, UDP wordt ook gewoon door firewalls geblokkeerd. Je kunt natuurlijk eerst ergens een TFTP server opzetten in hetzelfde netwerksegment als de Citrix farm, maar dan heb je nog wat meer nodig dan een speciaal gefabriceerd ica-bestand.

Trouwens, in 90% van alle bedrijven die veiligheid van gegevens hoog in het vaandel hebben staat FTP toegang gewoon dicht, en word je verplicht om over een proxy server te gaan. Het is veel te gevaarlijk om zomaar internettoegang voor je medewerkers open te zetten...
No offence, maar de laatste alinea van het originele artikel is best wel belangrijk en die wordt door Tweakers 'even' niet gemeld.
Citrix said in an e-mailed statement that it "has become aware of recent blog postings relating to insecure deployment of Citrix products." The company said that while no specific vulnerability was identified, it recommends that its customers follow the security practices outlined on its Web site.
Ik weet niet of iedereen weet hoe die ICA files werken, maar je hoort er de naam van de farm of server en de te starte applicatie (die onder die naam gepubliseerd is) in te definieren. Dat is inderdaad gebruik maken van features, maar alles behalve makkelijk om te misbruiken. Verder moet de Citrix client op het werkstation op een bepaalde manier geconfigureerd zijn, anders werkt dat pass-thru (key onderdeel van de 'hack') niet eens en dit staat standaard uit...

Verder worden Citrix servers over het algemeen heel goed dicht gezet voor eindgebruikers, dus veel doen kunnen ze toch niet wanneer ze eenmaal toegang hebben.

[Reactie gewijzigd door Abom op 11 oktober 2007 18:56]

tja, toegang op gebruikersniveau vind ik al veel te veel!

vooral grote organisaties gebruiken citrix, als je als de goede gebruiker toegang hebt (directie, administratie, enz), dan kun je daarin al een hoop rotzooien, vooral op de administratie afdeling kan je leuke dingen uithalen met betalingen e.d.!

Pass-trough authenticatie is hierbij gelijk een verhoogd risico geworden, in plaats van dat je voor elke app moet inloggen, kun je via deze weg ineens overal bij. (waar de 'gehackte' gebruiker dus normaal gesproken allemaal bij kan)
Uiteraard ben ik het met je eens dat elke vorm van toegang, teveel is voor een hacker.

Ik vraag me af waarom je pass-thru authentication nodig hebt? Het is handig wanneer je bepaalde applicatie op een aparte silo hebt staan en pass-thru gebruikt om vanaf een bestaande server hierop in te loggen.
Program Neighbourhood is outdated, iedereen gebruikt NFuse of Web Interface en dan authenticeren gebruikers zich aan de Web Interface... Persoonlijk vind ik het sowieso onverantwoord om je PN-client, pass-thru toe te laten staan met je local credentials...

Ik vraag me af hoe men custom commando's uit wil laten voeren mbv ICA files. Een ICA file is niet veel meer dan een 'snelkoppeling' naar een, door de beheerder voorgedefinieerde applicatie (bv: winword.exe).

Misschien werkt de hack wel heel anders dan ik denk...maar aangezien Petko (gelukkig) geen extra info over de hack geeft, hou ik mijn twijfels over dit alles.

[Reactie gewijzigd door Abom op 11 oktober 2007 19:25]

Als je clients domain-pc's zijn en je citrix gebruik voor applicaties ipv een complete desktop kan pass-thru handig zijn. De gebruiker logt in op zijn pc met zijn AD-account, de citrix-client gebruikt vervolgens pass-thru om in te loggen op de farm en krijgt zijn specifieke applicaties op de desktop te zien.
Verder worden Citrix servers over het algemeen heel goed dicht gezet voor eindgebruikers
Integendeel. Het overgrote deel van de bruikbare Presentation Server-omgevingen zijn individuele servers door een gebruiker met standaard gebruikersrechten plat te gooien. (Dit geldt trouwens ook voor de online Citrix demo-servers)
Ja, het is ook mogelijk om het administrator wachtwoord ergens vandaan te toveren en dan in te loggen en dan alles kapot maken. Dit vind ik eigenlijk nogal flauw. Het is geen echt lek en dus puur een demonstratie hoe een gebruiker gefopt kan worden met malafide bestanden. Het is vind ik meer de taak voor ondernemingen als mcafee of symantec om deze bestanden te weigeren (vooral om het feit dat het eigenlijk om een trojan horse gaat) ipv dat citrix hier een oplossing voor moet bieden.

[Reactie gewijzigd door EJP op 11 oktober 2007 18:31]

Volgens hem zal het lastig worden de kwetsbaarheid op te lossen aangezien een aanval niet zozeer van lekken gebruik maakt als wel van features.
Je kan ook Powerfuse gebruiken, mooi Nederlands product ;) Dan kun je in ieder geval ongeautoriseerde bestanden en processen weren. Zo kun je instellen dat er geen ica files geopend mogen worden maar alleen door de ICT toegewezen applicaties, bestanden etc.

* Venator beschermt zo dagelijks de onwetenden

[Reactie gewijzigd door Venator op 11 oktober 2007 21:12]

Zoals zo vaak gezegd : applaus voor de denktank dat ze erachter gekomen zijn dat je met een .ICA een PubApp kunt starten :)

Het is redelijk normaal om een Citrix client op een Citrix doos te hebben staan
Het is redelijk normaal om de associatie van .ICA files met de Citrix client te laten staan
Het is redelijk normaal om passthrough authentication aan te zetten

En ja, als je dan zo dom bent dat de gebruiker bv toegang tot een .ICA krijgt welke automagisch inlogt op een PubApp met ook nog een voorgedefineerde user/pass dan is dat je eigen stomme schuld.

Ik kan overigens nergens nu echt vinden wat hun 'hack' is.
OK, ze laten iemand een .ICA starten. En dan ? Waar connect dat bestand dan heen om te zorgen dat er een TFTP server connectie word opgezet ?

Kun je net zo goed een mailtje sturen met een screensaver.exe die rechtstreeks die TFTP connectie opzet.
Ehm... Citrix is een bedrijf. Over welk product gaat dit, ik denk Presentation Server...
Klopt dat Citrix het bedrijf is, en Presentation Server het product; maar de term is ondertussen al zo hard doorgedrongen dat wanneer iemand 'Citrix' vernoemd, hij eigenlijk 'Presentation Server' bedoelt. Ik wist alvast meteen waar het artikel over ging...
Goed lezen, er is dus geen patch voor, en dat word ook moeilijk, want het is niet zozeer een bug, alswel misbruik maken van opties/mogelijkheden binnen Citrix.

Wellicht dat die opties uit te schakelen zijn, maar los van dat word het toch lastig om dit tegen te houden denk ik. Misschien dat je je mailserver zo kan instellen dat ICA-files niet geaccepteerd worden (die verstuur je normaal gesproken toch niet via mail), plus ervoor zorgen dat gebruikers zelf geen ICA-files kunnen aanmaken enzo.

Dit geld overigens voor ALLE versies van Citrix, dus van MetaFrame 1.0 t/m PresentationServer 4.5....
Volgens mij kun je pass-through authentication wel ergens uitzetten.
Voor citrix vind ik het wel redelijk gevaarlijk aangezien het ook via een website kan gebeuren zonder dat de eind gebruiker er iets van weet/merkt.

Het zelfde bestaat voor terminal service .rdp bestanden maar daarbij moeten de gebruikers eerst de bestanden ontvangen/openen , iets wat bij 1 van de bugs van Citrix niet het geval is.
quote: "Om een aanval succesvol te laten verlopen moet een Citrix-gebruiker die deel uitmaakt van een ge´ntegreerd netwerk"

Dus als men geen deel uitmaakt van een 'geintegreerd' netwerk dan werkt die hack niet? Wat wordt hier onder een geintegreerd netwerk verstaan?

En wat is een Zero day vulnerability?
Om een aanval succesvol te laten verlopen moet een Citrix-gebruiker die deel uitmaakt van een ge´ntegreerd netwerk, ertoe overgehaald worden een speciaal gefabriceerd ica-bestand te openen.
En als ik de gebruiker kan overhalen om een speciaal gefabriceerd exe-bestand te openen dan kan ik de eerstvolgende keer dat de gebruiker op Citrix inlogt ook alles doen wat ik leuk vind op de Citrix server. Wat is er zo spannend aan deze exploit?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True