Jump to content

Nutzung des Citrix-Receivers erlaubt rückwärtige Verbindung?


Recommended Posts

Hallo zusammen,

 

gleich der Disclaimer: Ich habe absolut keine Idee von Citrix und den zu nutzenden Fachbegriffen. Aber ich habe da was aufgeschnappt und da es hier immer wieder Diskussionen zu Citrix gibt, hoffe ich hier eine Erklärung zu finden. Seht mir also nicht eindeutige Formulierungen nach ;-)

 

Um es hoffentlich ein wenig besser verständlich zu machen, hier die Geschichte dazu: Wir supporten Kunden im Umfeld SAP. Dabei greifen wir bei einigen wenigen Kunden per Citrix Receiver (heißt ja nun anscheinend Workspace App) auf einen dort befindlichen Rechner zu über den wir dann wiederum auf weitere Systeme kommen. Ich selbst kann die Verbindung von meinem Notebook oder von meiner VM aus aufbauen.

 

Nun wurde uns vor einigen Tagen gesagt, dass diese Art des Zugriffs hochgradig riskant ist, weil sich die Gegenseite (Kunde selbst, ein dort befindlicher Hacker, usw.) auf die Maschine verbinden könnte von welcher ich die Session geöffnet habe. Wie das nun im Detail funktionieren soll und ob ich etwas davon mitbekomme, hab ich noch nicht raushören können. Wenn sich diese Person nun also zu uns verbinden kann (sozusagen Fernsteuerung rückwärts), hätte sie ja Zugriff auf meinen Desktop, die Tools, usw. und somit auch sensible Daten.

 

Na jedenfalls soll nun bei den Kunden die uns per Citrix Zugriff gewähren nachgefragt werden, ob man nicht einen Site to Site VPN-Tunnel aufbauen könnte.

 

War das verständlich? Was sagt ihr zu diesem Bedrohungsszenario? Ist das so machbar und ist das dann wirklich so riskant?

 

Viele Grüße und Danke

Samoth

Link to post
vor 4 Stunden schrieb Samoth:

Nun wurde uns vor einigen Tagen gesagt, dass diese Art des Zugriffs hochgradig riskant ist, weil sich die Gegenseite (Kunde selbst, ein dort befindlicher Hacker, usw.) auf die Maschine verbinden könnte von welcher ich die Session geöffnet habe.

Was ist das denn für eine Maschine und wie genau wird die bereitgestellt. Ohne mehr technische Details kann man nur mutmaßen. Ich denke der (administrative) Kunde ist als „risiko“ auszuschließen, denn er hat vermutlich schon adminrechte und braucht euch dazu nicht. Für alles andere müßte man klären wie der Desktop eurer wartungssession bereitgestellt wird und wer bspw. Ebenfalls darauf zugriff hat.

Link to post

Das wäre mir neu. Wenn man im Receiver den Zugriff auf lokale Laufwerke nicht zulässt, kann der Server das nicht übersteuern. Es gab letztes Jahr einen Bug im Receiver, über welchen der Zugriff trotz Verbot erlangt werden konnte (CVE-2019-11634). Dieser wurde aber schnell mittels Update behoben.

 

Gemäss meinen Informationen ist der Zugriff auf Server über Citrix nicht gefährlich, wenn man seinen Receiver (und das ganze System) aktuell hält.

  • Thanks 1
Link to post
vor 7 Minuten schrieb mwiederkehr:

Gemäss meinen Informationen ist der Zugriff auf Server über Citrix nicht gefährlich, wenn man seinen Receiver (und das ganze System) aktuell hält.

Ich vermute, es geht hier um das Credential Theft Thema:

Zitat

weil sich die Gegenseite (Kunde selbst, ein dort befindlicher Hacker, usw.) auf die Maschine verbinden könnte von welcher ich die Session geöffnet habe

 

Link to post

Moin zusammen,

Am 20.10.2020 um 20:41 schrieb NorbertFe:

Für alles andere müßte man klären wie der Desktop eurer wartungssession bereitgestellt wird und wer bspw. Ebenfalls darauf zugriff hat.

Ich müsste vll. mal eine Skizze machen und sie hier anhängen :-D

 

Ich baue ja die Verbindung per Citrix Workspace App von meinem Firmen-Notebook bzw. Firmen-VM auf. Diese Maschinen sind in unserem Netz und haben erst mal nichts mit dem Kunden zu tun. Von einer dieser VMs springe ich dann über die Citrix-App rüber zum Kunden auf eine seiner VMs die für uns zum Arbeiten bereitgestellt wurde. Erst von dieser VM aus erreiche ich seine Systeme, usw.

 

Die Behauptung war nun folgende: Wenn ich über die Citrix-App mit dem Kunden verbunden bin, könnte man von dort zurück auf mein Firmen-Notebook bzw. meine Firmen-VM zugreifen, um dort Daten abzugreifen. Wir haben auf unseren Systemen einen Remote-Desktop-Manager. Daraus wurde dann ein Bedrohungsszenario gemacht: Man könnte dann rückwärtig auf diesen RDM zugreifen und somit ja wieder auf andere Kundensysteme und -daten.

Link to post
vor 5 Minuten schrieb NorbertFe:

Und die kann man auch irgendwie belegen? Normalerweise gäbe es für sowas ja dann auch ein Exploit-Paper oder sowas in der Art.

Haha - Danke der Nachfrage! An dem Punkt waren wir auch schon.

 

Bisher habe ich nur Folgendes bekommen - aber da steht zumindest mal "Citrix" drin ;-)

https://www.businessinsider.de/politik/deutschland/hacker-legen-uniklinik-duesseldorf-lahm-staatsanwaltschaft-ermittelt-wegen-todesfall-einer-patientin/

 

Naja und es gab noch die Aussage, dass Citrix mächtig wäre und man da sehr viel möglich machen könnte.

 

Nur falls es noch nicht so rüberkam... Ich möchte an der Stelle auch mal sagen, dass ich das ganze auch skeptisch sehe und alles andere als überzeugt davon bin, dass man einfach mal so mit Citrix dieses Bedrohungsszenario aufbauen kann.

Edited by Samoth
Link to post

Ich lach mich tot. :D Das hat ja mal in dem Fall so gar nichts mit dem "geschilderten" Szenario zu tun. 

https://www.syss.de/pentest-blog/2020/shitrix-ein-zwischenfazit

Es geht darum, dass das Gateway eben exploitet werden kann/bzw. konnte, denn Patches sind inzwischen ja schon lange verfügbar. Wenn man natürlich ein System hat, was gefährdet ist, kann man damit bestimmt einiges anstellen, aber es geht halt auch _ohne_ bestehende Sitzung eurerseits und betrifft natürlich die Umgebung des Kunden und nicht euch. Ich laß mich aber auch gern belehren.

 

Ich denke, da geht irgendwie bei irgendwem die Paranoia durch, oder er wollte mal klugsch... ;)

  • Thanks 1
Link to post

Hi,

 

an der Stelle sprichst du dann wohl vom "CVE-2019-19781" (https://support.citrix.com/article/CTX267027) und gehst davon aus, dass der Netscaler ADC nicht zwingend von wem fremden kompromittiert wurde, sondern dass die IT eurer Kunden euch da auch angreifen möchte?

 

Mit sehr viel Konjunktiv könnte an einer solch zentralen Stelle sicherlich sehr viel möglich sein. Alleine eine Verbindung per "Workspace App" kann ja "clientless" oder auch per "Full VPN" erfolgen. Generell könntet ihr an eurer Stelle clientseitig per GPO dem Citrix Receiver / der Workspace App jede Menge "Features" abdrehen, ob das aber dann nicht auch exploitet wurde/wird...

 

Gruß

Jan

 

P.S.: Wenn die Kundenseite kompromittiert ist bzw. die Kunden IT euch angreifen will, hast du eh ein Problem. Egal ob Citrix, Site2Site oder Teamviewer und Co.

Edited by testperson
  • Thanks 1
Link to post

Bei dem ganzen Thema lasse ich die Exploits in dieser(!) Betrachtung mal außen vor. Da steckt man nicht drin und muss zuschauen, dass die Software eben aktuell gehalten wird.

 

vor 20 Minuten schrieb testperson:

nicht zwingend von wem fremden kompromittiert wurde, sondern dass die IT eurer Kunden euch da auch angreifen möchte?

Ne, dem Kunden unterstelle ich jetzt mal nichts. Geht um die generelle Möglichkeit mit Bordmitteln rüber zu uns zu springen und da Daten abzugreifen oder gar den Rechner in unserem Netz fernzusteuern.

 

Ich höre aus den Behauptungen heraus, dass wir den Zugriff zum Kunden per Citrix nach Möglicheit abschaffen sollten, weil man sonst auf unsere Rechner zugreifen kann :->

vor 26 Minuten schrieb testperson:

P.S.: Wenn die Kundenseite kompromittiert ist bzw. die Kunden IT euch angreifen will, hast du eh ein Problem. Egal ob Citrix, Site2Site oder Teamviewer und Co.

Das klingt btw. interessant! Was meinst du damit?

 

Und mal eine andere Frage an der Stelle: Bin ich einem Kunden der seine Citrix-Umgebung nicht aktuell hält hilflos ausgeliefert? Kann ich da meinerseits nichts tun außer die Verbindung völlig zu unterbinden oder dem Receiver/App per GPO Features wegzunehmen?

Link to post
vor 5 Minuten schrieb Samoth:

Bin ich einem Kunden der seine Citrix-Umgebung nicht aktuell hält hilflos ausgeliefert?

Nein, du kannst den Vertrag kündigen. ;)

die Frage ist etwas eigenartig. Wenn du mit einem potentiell kompromittierten System eine Verbindung herstellst, kann dir niemand irgendwas „garantieren“, und dabei ist es eben egal wie diese Verbindung hergestellt wird.

Link to post
vor 7 Minuten schrieb NorbertFe:

die Frage ist etwas eigenartig.

Die Frage ist auch abseits meines Threads zu verstehen :-) Passt schon. Letztlich weiß man ja eh nie, ob man sich mit einer verseuchten Umgebung verbindet oder nicht.


Na mal sehen, ob ich die Tage/Wochen noch ein paar verlässlichere Informationen bekomme.

Link to post
vor 39 Minuten schrieb Samoth:

Das klingt btw. interessant! Was meinst du damit?

Passiert doch grade "immer mal wieder", dass bspw. irgendwo / irgendwie Mails abgeschnorchelt wurden und in diese bestehende Korrespondenz mit "wichtigen Unterlagen" eingestiegen wird.

 

P.S.: Stell dir / Stell dem Urheber der Frage mal vor bei eurem Reinigungsservice schleicht sich "d'r fiese Möpp" ein und attackiert eure IT Infrastruktur in aller Ruhe von intern. Da braucht er/man gar keine Exploits, um sich umständlich von extern in euer Unternehmen zu schleusen. Sowas könnte ja durchaus am Freitagabend ab 18 Uhr passieren und bis Montagmorgen 6 Uhr andauern. Da kriegt man "viel geschafft". ;-)

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...