Citrix Schwachstelle: Neue Updates und Scanner für Tests

Publiziert am 24. Januar 2020 von Günter Born

[English]Die Entwickler der Firma Citrix haben nun weitere Firmware-Updates zum Schließen der vor Weihnachten 2019 gemeldeten Schwachstellen veröffentlicht. Zudem gibt es einen Scanner, um über die Schwachstelle CVE-2019-19781 kompromittierte Citrix-Systeme zu erkennen. Und in Cisco Firepower gibt es eine kritische Schwachstelle.

Anzeige

Citrix-Schwachstelle CVE-2019-19781

Im Citrix Application Delivery Controller (ADC) – früher NetScaler ADC – sowie im Citrix Gateway – früher NetScaler Gateway – gibt es eine Schwachstelle CVE-2019-19781, die Angreifer eine ungewollte Code-Ausführung ermöglichen kann. Wird diese Schwachstelle ausgenutzt, erhalten Angreifer aus dem Internet direkten Zugriff auf das lokale Netzwerk des Unternehmens. Dieser Angriff erfordert keinen Zugang zu irgendwelchen Konten und kann daher von jedem externen Angreifer durchgeführt werden. Ich hatte erstmals vor Weihnachten 2019 im Blog-Beitrag Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke über die Schwachstelle berichtet.

Firmware-Updates für Citrix-Produkte

Bereits am 19. Januar 2020 kamen dann erste Firmware-Update für den Citrix ADC/Netscaler 11.1/12.0. Citrix hat zudem zum 19. Januar 2020 einen Blog-Beitrag Vulnerability Update: First permanent fixes available, timeline accelerated zum Thema veröffentlicht. Permanente Fixes für die ADC-Versionen 11.1 und 12.0 stehen hier (gelöscht) und hier zum Download bereit.

Ich hatte im Blog-Beitrag Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020) berichtet, weitere Details sind dem englischsprachigen Citrix-Blog-Beitrag zu entnehmen. Dort werden die Release-Daten sowie die Versionen für die Updates aufgelistet.

Dem obigen Tweet nach sind nun Firmware-Updates für alle Versionen 11.0, 11.1, 12.0, 12.1 und 13.0 des Citrix ADC freigegeben. Zudem sind nun auch Firmware-Updates für die von der Schwachstelle CVE-2019-19781 betroffenen Versionen von Citrix SD-WAN WANOP freigegeben worden. Die Fixes sind hier verfügbar. Administratoren sollten die Updates unverzüglich installieren.


Ergänzung: Gemäß obigem Tweet hat Citrix nun Updates für alle von der Schwachstelle betroffenen Citrix-Produkte freigegeben.

Scanner zum Aufspüren gehackter Citrix-Systeme

Problem ist, dass von Citrix nach der Offenlegung der Schwachstelle zwar ein Workaround aber kein Patch zum Stopfen der Sicherheitslücke verfügbar war. Viele Citrix ADC/Netscaler standen über einen Monat 'offen' und wurden möglicherweise bereits durch Malware kompromittiert. Ich hatte im Blog-Beitrag Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler einige Hinweise gegeben, wie man ggf. Infektionen erkennt.

Für umfangreichere Netzwerke mit Citrix ADC-Installationen brauchen Administratoren aber bessere Ansätze. Daher noch ein kurzer Nachtrag: Citrix hat die Tage einen Scanner freigegeben, mit dem nach kompromittierten Citrix-Geräten scannen lässt. Das Ganze ist ein Shell-Script, welches auf GitHub zur Verfügung steht und direkt auf den Appliances laufen soll. Heise hat hier einen deutschsprachigen Beitrag zum Thema veröffentlicht.

Anzeige

Schwachstelle CVE-2019-16028 in Cisco Firepower

Cisco Firepower ist eine Firewall, die Sicherheitsverletzungen erkennen und Bedrohungen stoppen soll. Allerdings gibt es eine, von Cisco als kritisch eingestufte, Schwachstelle CVE-2019-16028 in der LDAP-Authentifizierung, vor der Cisco warnt. Eine Schwachstelle in der webbasierten Verwaltungsoberfläche des Cisco Firepower Management Center (FMC) könnte es einem nicht authentifizierten, entfernten Angreifer ermöglichen, die Authentifizierung zu umgehen und beliebige Aktionen mit administrativen Rechten auf einem betroffenen Gerät auszuführen.

Die Schwachstelle ist auf die unsachgemäße Handhabung von LDAP-Authentifizierungsantworten (Lightweight Directory Access Protocol) von einem externen Authentifizierungsserver zurückzuführen. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er fertige HTTP-Anforderungen an ein betroffenes Gerät sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, administrativen Zugriff auf die webbasierte Verwaltungsschnittstelle des betroffenen Geräts zu erhalten. Cisco hat ein Software Update zum Schließen der Schwachstelle herausgegeben. Heise hat diesen Artikel zu dieser und weiteren Schwachstellen veröffentlicht.

Ähnliche Artikel:
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Citrix Schwachstelle: Neue Updates und Scanner für Tests

  1. 1ST1 sagt:
    24. Januar 2020 um 09:21 Uhr

    Das mit dem Update ist toll, Verfügbar aber Freitags? Wer spielt so ein Update schon direkt vor dem Wochenende ein?

    Das Beste ist jetzt, wo das Update da ist, eh, die Konfig von den Netscalern zu sichern und die bei nächster Gelegenheit neu zu installieren, denn auch das Checkscript gibt keine 100% Sicherheit, dass der Netscaler nicht komprimitmiert ist, wie Citrix % Fireye selbst dazu schreinem

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.