Schwachstellen in Citrix ADC, Gateway & SD-Wan patchen

Publiziert am 8. Juli 2020 von Günter Born

[English]In diversen Citrix-Produkten gibt es kritische Schwachstellen. Der Hersteller hat Sicherheitsupdate für Citrix Application Delivery Controller, Citrix Gateway und Citrix SD-WAN WANOP-Appliance freigegeben. Administratoren sollten die Updates dringend einspielen.

Anzeige

Ein Blog-Leser hat mich per Mail informiert (danke dafür), dass Citrix zum 7. Juli 2020 ein Sicherheits-Bulletin (Security Advisory) zu den Schwachstellen veröffentlicht hat. Diese Schwachstellen wurden von externen Sicherheitsforschern von Akamai, Digital 14 etc. entdeckt und an den Hersteller gemeldet.

Die Schwachstellen

Im Citrix Application Delivery Controller (ADC, früher bekannt als NetScaler ADC), Citrix Gateway (früher bekannt als NetScaler Gateway) und Citrix SD-WAN WANOP Appliance-Modelle 4000-WO, 4100-WO, 5000-WO und 5100-WO wurden gleich mehrere Schwachstellen entdeckt.

Citrix-Schwachstellen 7.2020(Citrix-Schwachstellen, Zum Vergrößern klicken)

Diese Schwachstellen können, wenn sie ausgenutzt werden, zu einer Reihe von Sicherheitsproblemen führen. Es sind mehrere Angriffsszenarien denkbar.

Die Verwaltungsschnittstelle als Angriffspunkt

Angriffe auf die Verwaltungsschnittstelle ermöglichen beispielsweise:

  • eine Systemkompromittierung durch einen nicht authentifizierten Benutzer im verwalteten Netzwerk.
  • Systemkompromittierung durch Cross Site Scripting (XSS)-Angriffe auf der Verwaltungsschnittstelle
  • Erstellung eines Download-Links für das Gerät, der, wenn er von einem nicht authentifizierten Benutzer im Verwaltungsnetzwerk heruntergeladen und dann ausgeführt wird, zur Kompromittierung seines lokalen Computers führen kann.

Kunden, die ihre Systeme in Übereinstimmung mit den Citrix-Empfehlungen konfiguriert haben, haben ihr Risiko von Angriffen auf die Verwaltungsoberfläche deutlich reduziert.

Virtuelle IP (VIP) als Angriffspunkt

Die Schwachstellen ermöglichen zusätzlich Angriffe, die auf eine virtuelle IP (VIP) anwendbar sind.

  • Denial of Service entweder gegen die virtuellen Gateway- oder Authentifizierungsserver durch einen nicht authentifizierten Benutzer (der virtuelle Server mit Lastausgleich ist davon nicht betroffen).
  • Remote-Port-Scannen des internen Netzwerks durch einen authentifizierten Citrix-Gateway-Benutzer. Angreifer können nur erkennen, ob eine TLS-Verbindung mit dem Port möglich ist und können nicht weiter mit den Endgeräten kommunizieren.

Kunden, die weder den virtuellen Gateway- noch den Authentifizierungsserver aktiviert haben, sind dem Risiko von Angriffen, die auf diese Server anwendbar sind, nicht ausgesetzt. Andere virtuelle Server, z.B. virtuelle Server mit Lastausgleich und Content-Switching, sind von diesen Problemen nicht betroffen.

Anzeige

Schwachstelle im Citrix Gateway Plug-in für Linux

Darüber hinaus wurde eine Schwachstelle im Citrix Gateway Plug-in für Linux gefunden, die es einem lokal angemeldeten Benutzer eines Linux-Systems, auf dem dieses Plug-in installiert ist, erlauben würde, seine Privilegien auf ein Administratorkonto auf diesem Computer zu erhöhen.

Betroffene Produkte und Abhilfe

Die folgenden Versionen von Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP beheben die Schwachstellen:

  • Citrix ADC und Citrix Gateway 13.0-58.30 und spätere Versionen
  • Citrix ADC und NetScaler Gateway 12.1-57.18 und spätere Versionen 12.1
  • Citrix ADC und NetScaler Gateway 12.0-63.21 und spätere Versionen 12.0
  • Citrix ADC und NetScaler Gateway 11.1-64.14 und spätere Versionen 11.1
  • NetScaler ADC und NetScaler Gateway 10.5-70.18 und spätere Versionen 10.5
  • Citrix SD-WAN WANOP 11.1.1a und spätere Versionen
  • Citrix SD-WAN WANOP 11.0.3d und spätere Versionen 11.0
  • Citrix SD-WAN WANOP 10.2.7 und spätere Versionen 10.2
  • Citrix Gateway-Plug-in für Linux 1.0.0.137 und spätere Versionen

Builds mit gefixten Schwachstellen wurden für alle unterstützten Versionen von Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP veröffentlicht. Citrix empfiehlt Kunden dringend, diese Updates sofort zu installieren. Die neuesten Builds können von folgenden Download-Adressen heruntergeladen werden:

Citrix ADC
Citrix Gateway
Citrix SD-WAN WANOP

Kunden, die nicht in der Lage sind, sofort auf die neueste Version zu aktualisieren, wird empfohlen, sicherzustellen, dass der Zugriff auf die Verwaltungsschnittstelle eingeschränkt ist. Weitere Informationen finden sich hier.

Benutzer mit Citrix Gateway Plug-in für Linux sollten sich bei einer aktualisierten Version von Citrix Gateway anmelden und "Netzwerk-VPN-Modus" wählen. Citrix Gateway fordert den Benutzer dann zum Update auf. Kunden mit dem von Citrix verwalteten Citrix Gateway-Dienst müssen keine Maßnahmen ergreifen.

Ähnliche Artikel:
Hacker infiltrierten Citrix für fünf Monate
Ragnarok Ransomware zielt auf Citrix ADC, stoppt Defender
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Citrix Schwachstelle: Neue Updates und Scanner für Tests
Ransomware-Befall beim Automobilzulieferer Gedia
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Neue Schwachstellen CVE-2020-10110, CVE-2020-10111, CVE-2020-10112 in Citrix Gateway

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Geräte, Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.