[English]Wir haben den 20. Januar 2020, und Citrix hat bereits gestern erste Firmware-Updates für Citrix ADC/Netscaler 11.1/12.0 veröffentlicht (angekündigt waren diese für den 20.1.2020). Diese sollen die Schwachstelle CVE-2019-19781 schließen.
Anzeige
Citrix (NetScaler) ADC ist ein Load Balancer und Überwachungs-System. Das Unified Gateway ermöglicht den Remote-Zugriff auf interne Anwendungen. Dies kann sowohl Desktopanwendungen als auch Intranet- oder Webanwendungen umfassen.
Citrix-Schwachstelle CVE-2019-19781
Im Citrix Application Delivery Controller (ADC) – früher NetScaler ADC – sowie im Citrix Gateway – früher NetScaler Gateway – gibt es eine Schwachstelle CVE-2019-19781, die Angreifer eine ungewollte Code-Ausführung ermöglichen kann. Wird diese Schwachstelle ausgenutzt, erhalten Angreifer aus dem Internet direkten Zugriff auf das lokale Netzwerk des Unternehmens. Dieser Angriff erfordert keinen Zugang zu irgendwelchen Konten und kann daher von jedem externen Angreifer durchgeführt werden.
Ich hatte erstmals vor Weihnachten 2019 im Blog-Beitrag Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke über die Schwachstelle, für die es bisher keine Updates gab, berichtet. Allerdings hatte Citrix ja einen Workaround veröffentlicht, mit dem Administratoren die Ausnutzung der Schwachstelle verhindern oder erschweren konnten. Hatten aber viele Administratoren versäumt, so dass es im Januar 2020 erfolgreiche Angriffe in Firmennetzen über diese Schwachstelle gab. Seit Proof of Concept (PoC) Exploits bekannt wurden, häufen sich die Angriffe auf Citrix Netscaler-Honeypots. Citrix hatte im Zeitraum 20. bis 31. Januar 2020 Updates für betroffene Produkte angekündigt. In den am Artikelende verlinkten Blog-Beiträgen finden sich Hinweise zu diesem Themenfeld.
Updates für für Citrix ADC/Netscaler 11.1/12.0
Ich habe es heute morgen bereits bei Bleeping Computer gelesen, erste Updates für den Citrix ADC/Netscaler 11.1/12.0 sind bereits gestern freigegeben worden. Gemäß folgendem Tweet erfolgte die Veröffentlichung irgendwann heute Nacht (deutscher Zeit).
Anzeige
Important updates on the #CitrixADC, Citrix Gateway vulnerability: (1) Permanent fixes for ADC v11.1 & 12. (2) We have moved forward the availability of permanent fixes for other ADC versions & SD-WAN WANOP from previous target dates. #CVE201919781https://t.co/20c9u3oh8h
— Citrix (@citrix) January 19, 2020
Citrix hat zudem zum 19. Januar 2020 einen Blog-Beitrag Vulnerability Update: First permanent fixes available, timeline accelerated zum Thema veröffentlicht. Permanente Fixes für die ADC-Versionen 11.1 und 12.0 stehen hier (gelöscht) und hier zum Download bereit. Dazu schreibt Citrix:
- These fixes also apply to Citrix ADC and Citrix Gateway Virtual Appliances (VPX) hosted on any of ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP or on a Citrix ADC Service Delivery Appliance (SDX). SVM on SDX does not need to be updated.
- It is necessary to upgrade all Citrix ADC and Citrix Gateway 11.1 instances (MPX or VPX) to build 11.1.63.15 to install the security vulnerability fixes. It is necessary to upgrade all Citrix ADC and Citrix Gateway 12.0 instances (MPX or VPX) to build 12.0.63.13 to install the security vulnerability fixes. .
Citrix hat die Verfügbarkeit von permanenten Fixes für andere ADC-Versionen und für SD-WAN WANOP vorverlegt:
- ADC version 12.1, now January 24
- ADC version 13 and ADC version 10.5, now January 24
- SD-WAN WANOP fixes, now January 24
Weitere Details könnt ihr dem englischsprachigen Citrix-Blog-Beitrag entnehmen. Dort werden die Release-Daten sowie die Versionen für die Updates aufgelistet. Administratoren sollten die Updates unverzüglich installieren.
Ähnliche Artikel:
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Anzeige
Verschlüsselung ist z.Z. in aller Munde. So stelle ich bei Gelegenheit den einen oder anderen e-Mail-Zugang auf SSL bzw. TLS um. Die Beschwerden der Kunden folgten auf dem Fuße. Die Zertifikate der e-Mail-Server machen auf Outlook 2013 keinen Eindruck: bei jedem Sende- und Empfangsversuch meckert Outlook, und man muss immer wieder manuell eingreifen. Erst dachte ich, das läge an der Unsitte, dass alle Welt jetzt sich selbst zertifiziert, aber die Zertifikats-Kette war tatsächlich o.k.
Ein weiteres Problem ist das Drucken einer e-Mail, wenn diese geöffnet ist. Nicht nur, dass das Druck-Symbol fehlt, Strg/P startet den Druckvorgang zwar, aber beendet ihn nicht (unter welchen Umständen, wäre noch zu klären, jedenfalls kann man nur noch schnell das Papier entfernen und versuchen, den Drucker ruhig zu stellen).
Bei Outlook ist es klar, da fehlt die – wie ich immer sage – die "Freigabe von M$"
Nein, natürlich nicht. Oder nicht so zumindest. Es muss noch eine extra Checksumme berechnet werden, für ein neues Zertifikat. (Welches händisch eingetragen wurde)
Die .bat ist aber – ich komme im Moment nicht auf den Namen – im Office/Common Ordner drin….
Ab 30. bin ich wieder an Windows/Office dran und da kann ich Dir den genauen Weg aufzeigen, wenn Du möchtest….
Wenn das ein breiteres Problem ist, wäre meine Bitte, mir die Details direkt per Mail zukommen zu lassen. Dann bereits ich es als Blog-Beitrag auf. Hilft vielleicht Betroffenen etc. Danke.
Es dürfte daran liegen:
https://answers.microsoft.com/en-us/windowslive/forum/mail-email/tls-settings-for-smtp-not-fips-compliant/400ab674-b8ad-4520-82c6-1d85c85c19cf
Genauso, wie man auf 2012(r2) Systemen moderne Cipher-Suites erst einmal "erlauben" muß, bevor man sie verwenden kann.
Man könnte ja die Hintertürchen der Betriebssysteme dicht machen…
Interessantes Problem, aber was hat das mit Citrix Netscalern zu tun?