Zero-day vulnerability in Citrix ontdekt

Een kwetsbaarheid in Citrix geeft cybercriminelen bij een succesvolle aanval de mogelijkheid om op afstand en op gebruikersniveau commando's uit te voeren op Citrix-servers.

De kwetsbaarheid is gepubliceerd door GnuCitizen, naar eigen zeggen een 'cutting-edge denktank' en een 'creatieve hackersorganisatie'. Om een aanval succesvol te laten verlopen moet een Citrix-gebruiker die deel uitmaakt van een geïntegreerd netwerk, ertoe overgehaald worden een speciaal gefabriceerd ica-bestand te openen. 'Het succes is afhankelijk van het feit dat het slachtoffer deel uitmaakt van een Citrix-ring, waardoor hij of zij pass-through-authenticatie kan uitvoeren', citeert Infoworld Petko D. Petkov van GnuCitizen.

Zodra verbinding wordt gemaakt, zal een slachtoffer ongemerkt op de Citrix-omgeving inloggen en enkele commando's uitvoeren die door de aanvaller zijn bepaald. De remote desktop kan bijvoorbeeld worden geïnstrueerd om bestanden te downloaden van een tftp-server en deze lokaal uit te voeren. Na deze aanval wordt de verbinding verbroken en de Citrix-sessie ongedaan gemaakt. 'Er is geen interactie van de gebruiker vereist', aldus Petkov. Volgens hem zal het lastig worden de kwetsbaarheid op te lossen aangezien een aanval niet zozeer van lekken gebruik maakt als wel van features.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 11-10-2007 18:08
26 • submitter: Q

11-10-2007 • 18:08

26

Submitter: Q

Lees meer

Citrix neemt VMLogix over
Citrix neemt VMLogix over Nieuws van 30 augustus 2010
Citrix maakt XenServer gratis en bouwt tools voor Hyper-V
Citrix maakt XenServer gratis en bouwt tools voor Hyper-V Nieuws van 23 februari 2009
Microsoft gaat informatie over lekken eerder vrijgeven
Microsoft gaat informatie over lekken eerder vrijgeven Nieuws van 6 augustus 2008
Citrix gaat Microsofts Virtual Hard Disk-formaat gebruiken
Citrix gaat Microsofts Virtual Hard Disk-formaat gebruiken Nieuws van 12 september 2007
Citrix lijft virtualisatiefabrikant Xensource in
Citrix lijft virtualisatiefabrikant Xensource in Nieuws van 15 augustus 2007
Citrix gaat zich met Desktop Server op virtualisatie richten
Citrix gaat zich met Desktop Server op virtualisatie richten Nieuws van 14 april 2007
Citrix, KPN en ETC Pluz gaan samen e-werken promoten
Citrix, KPN en ETC Pluz gaan samen e-werken promoten Nieuws van 17 november 2005
Meer producten en artikelen
Netwerk en systeembeheer Beveiliging Citrix

Reacties (26)

-Moderatie-faq
26
23
10
8
0
0
Wijzig sortering
mutsje 11 oktober 2007 20:04
men heeft een tftp verbinding nodig. Wat nou als de citrixomgeving geen internet toelaat? dan gaat het hele verhaal in een keer niet meer op. De meeste omgevingen die ik ken hebben geen inet of laten wel inet toe maar geen ftp verkeer :) Het heeft ook een user interactie nodig van iemand die in mag loggen op de omgeving, en dit is ook het grootste security risico dat een omgeving heeft, niet de hackers maar de gebruikers.
Pwigle @mutsje12 oktober 2007 08:24
TFTP is heel iets anders dan FTP. TFTP gaat door middel van UDP en FTP gebruikt alleen TCP.
Het grote voordeel van TFTP is dat je met 1 commandoregel een bestand kan binnenhalen terwijl je bij FTP eerst een textbestand moet maken met commando's en vervolgens ftp met extra parameters uitvoeren.

Overigens zou ik het knap irritant vinden als ik een omgeving had met internet waar FTP geblocked zou zijn... Kan je een hoop zaken (waaronder ook werkgerelateerde PDF'jes) niet downloaden.
Ajunne @Pwigle12 oktober 2007 08:37
En waardoor is TFTP hier anders dan FTP? Als de Citrix farm geen internettoegang heeft gaat het verhaaltje nog steeds niet op, UDP wordt ook gewoon door firewalls geblokkeerd. Je kunt natuurlijk eerst ergens een TFTP server opzetten in hetzelfde netwerksegment als de Citrix farm, maar dan heb je nog wat meer nodig dan een speciaal gefabriceerd ica-bestand.

Trouwens, in 90% van alle bedrijven die veiligheid van gegevens hoog in het vaandel hebben staat FTP toegang gewoon dicht, en word je verplicht om over een proxy server te gaan. Het is veel te gevaarlijk om zomaar internettoegang voor je medewerkers open te zetten...
Abom 11 oktober 2007 18:53
No offence, maar de laatste alinea van het originele artikel is best wel belangrijk en die wordt door Tweakers 'even' niet gemeld.
Citrix said in an e-mailed statement that it "has become aware of recent blog postings relating to insecure deployment of Citrix products." The company said that while no specific vulnerability was identified, it recommends that its customers follow the security practices outlined on its Web site.
Ik weet niet of iedereen weet hoe die ICA files werken, maar je hoort er de naam van de farm of server en de te starte applicatie (die onder die naam gepubliseerd is) in te definieren. Dat is inderdaad gebruik maken van features, maar alles behalve makkelijk om te misbruiken. Verder moet de Citrix client op het werkstation op een bepaalde manier geconfigureerd zijn, anders werkt dat pass-thru (key onderdeel van de 'hack') niet eens en dit staat standaard uit...

Verder worden Citrix servers over het algemeen heel goed dicht gezet voor eindgebruikers, dus veel doen kunnen ze toch niet wanneer ze eenmaal toegang hebben.

[Reactie gewijzigd door Abom op 22 juli 2024 15:51]

GeleFles @Abom11 oktober 2007 19:09
tja, toegang op gebruikersniveau vind ik al veel te veel!

vooral grote organisaties gebruiken citrix, als je als de goede gebruiker toegang hebt (directie, administratie, enz), dan kun je daarin al een hoop rotzooien, vooral op de administratie afdeling kan je leuke dingen uithalen met betalingen e.d.!

Pass-trough authenticatie is hierbij gelijk een verhoogd risico geworden, in plaats van dat je voor elke app moet inloggen, kun je via deze weg ineens overal bij. (waar de 'gehackte' gebruiker dus normaal gesproken allemaal bij kan)
Abom @GeleFles11 oktober 2007 19:19
Uiteraard ben ik het met je eens dat elke vorm van toegang, teveel is voor een hacker.

Ik vraag me af waarom je pass-thru authentication nodig hebt? Het is handig wanneer je bepaalde applicatie op een aparte silo hebt staan en pass-thru gebruikt om vanaf een bestaande server hierop in te loggen.
Program Neighbourhood is outdated, iedereen gebruikt NFuse of Web Interface en dan authenticeren gebruikers zich aan de Web Interface... Persoonlijk vind ik het sowieso onverantwoord om je PN-client, pass-thru toe te laten staan met je local credentials...

Ik vraag me af hoe men custom commando's uit wil laten voeren mbv ICA files. Een ICA file is niet veel meer dan een 'snelkoppeling' naar een, door de beheerder voorgedefinieerde applicatie (bv: winword.exe).

Misschien werkt de hack wel heel anders dan ik denk...maar aangezien Petko (gelukkig) geen extra info over de hack geeft, hou ik mijn twijfels over dit alles.

[Reactie gewijzigd door Abom op 22 juli 2024 15:51]

SirBlade @Abom12 oktober 2007 01:11
Als je clients domain-pc's zijn en je citrix gebruik voor applicaties ipv een complete desktop kan pass-thru handig zijn. De gebruiker logt in op zijn pc met zijn AD-account, de citrix-client gebruikt vervolgens pass-thru om in te loggen op de farm en krijgt zijn specifieke applicaties op de desktop te zien.
Verwijderd @Abom12 oktober 2007 08:32
Verder worden Citrix servers over het algemeen heel goed dicht gezet voor eindgebruikers
Integendeel. Het overgrote deel van de bruikbare Presentation Server-omgevingen zijn individuele servers door een gebruiker met standaard gebruikersrechten plat te gooien. (Dit geldt trouwens ook voor de online Citrix demo-servers)
EJP 11 oktober 2007 18:30
Ja, het is ook mogelijk om het administrator wachtwoord ergens vandaan te toveren en dan in te loggen en dan alles kapot maken. Dit vind ik eigenlijk nogal flauw. Het is geen echt lek en dus puur een demonstratie hoe een gebruiker gefopt kan worden met malafide bestanden. Het is vind ik meer de taak voor ondernemingen als mcafee of symantec om deze bestanden te weigeren (vooral om het feit dat het eigenlijk om een trojan horse gaat) ipv dat citrix hier een oplossing voor moet bieden.

[Reactie gewijzigd door EJP op 22 juli 2024 15:51]

Venator 11 oktober 2007 21:11
Volgens hem zal het lastig worden de kwetsbaarheid op te lossen aangezien een aanval niet zozeer van lekken gebruik maakt als wel van features.
Je kan ook Powerfuse gebruiken, mooi Nederlands product ;) Dan kun je in ieder geval ongeautoriseerde bestanden en processen weren. Zo kun je instellen dat er geen ica files geopend mogen worden maar alleen door de ICT toegewezen applicaties, bestanden etc.

* Venator beschermt zo dagelijks de onwetenden

[Reactie gewijzigd door Venator op 22 juli 2024 15:51]

Koffie 12 oktober 2007 17:01
Zoals zo vaak gezegd : applaus voor de denktank dat ze erachter gekomen zijn dat je met een .ICA een PubApp kunt starten :)

Het is redelijk normaal om een Citrix client op een Citrix doos te hebben staan
Het is redelijk normaal om de associatie van .ICA files met de Citrix client te laten staan
Het is redelijk normaal om passthrough authentication aan te zetten

En ja, als je dan zo dom bent dat de gebruiker bv toegang tot een .ICA krijgt welke automagisch inlogt op een PubApp met ook nog een voorgedefineerde user/pass dan is dat je eigen stomme schuld.

Ik kan overigens nergens nu echt vinden wat hun 'hack' is.
OK, ze laten iemand een .ICA starten. En dan ? Waar connect dat bestand dan heen om te zorgen dat er een TFTP server connectie word opgezet ?

Kun je net zo goed een mailtje sturen met een screensaver.exe die rechtstreeks die TFTP connectie opzet.
Alex) 11 oktober 2007 18:18
Ehm... Citrix is een bedrijf. Over welk product gaat dit, ik denk Presentation Server...
Ajunne @Alex)12 oktober 2007 08:32
Klopt dat Citrix het bedrijf is, en Presentation Server het product; maar de term is ondertussen al zo hard doorgedrongen dat wanneer iemand 'Citrix' vernoemd, hij eigenlijk 'Presentation Server' bedoelt. Ik wist alvast meteen waar het artikel over ging...
wildhagen
@ASS-Ware11 oktober 2007 18:17
Goed lezen, er is dus geen patch voor, en dat word ook moeilijk, want het is niet zozeer een bug, alswel misbruik maken van opties/mogelijkheden binnen Citrix.

Wellicht dat die opties uit te schakelen zijn, maar los van dat word het toch lastig om dit tegen te houden denk ik. Misschien dat je je mailserver zo kan instellen dat ICA-files niet geaccepteerd worden (die verstuur je normaal gesproken toch niet via mail), plus ervoor zorgen dat gebruikers zelf geen ICA-files kunnen aanmaken enzo.

Dit geld overigens voor ALLE versies van Citrix, dus van MetaFrame 1.0 t/m PresentationServer 4.5....
zzzzap @wildhagen12 oktober 2007 20:29
Volgens mij kun je pass-through authentication wel ergens uitzetten.
kowapanga 11 oktober 2007 18:59
Voor citrix vind ik het wel redelijk gevaarlijk aangezien het ook via een website kan gebeuren zonder dat de eind gebruiker er iets van weet/merkt.

Het zelfde bestaat voor terminal service .rdp bestanden maar daarbij moeten de gebruikers eerst de bestanden ontvangen/openen , iets wat bij 1 van de bugs van Citrix niet het geval is.
Saab 11 oktober 2007 20:52
quote: "Om een aanval succesvol te laten verlopen moet een Citrix-gebruiker die deel uitmaakt van een geïntegreerd netwerk"

Dus als men geen deel uitmaakt van een 'geintegreerd' netwerk dan werkt die hack niet? Wat wordt hier onder een geintegreerd netwerk verstaan?

En wat is een Zero day vulnerability?
RedLizard 11 oktober 2007 21:15
Om een aanval succesvol te laten verlopen moet een Citrix-gebruiker die deel uitmaakt van een geïntegreerd netwerk, ertoe overgehaald worden een speciaal gefabriceerd ica-bestand te openen.
En als ik de gebruiker kan overhalen om een speciaal gefabriceerd exe-bestand te openen dan kan ik de eerstvolgende keer dat de gebruiker op Citrix inlogt ook alles doen wat ik leuk vind op de Citrix server. Wat is er zo spannend aan deze exploit?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq