Schwachstellen CVE-2022-27507 und CVE-2022-27508 in Citrix ADC und Citrix Gateway

Sicherheit (Pexels, allgemeine Nutzung)[English]In Citrix ADC und Citrix Gateway gibt es zwei Schwachstellen CVE-2022-27507 und CVE-2022-27508, zu denen der Hersteller eine Sicherheitswarnung (Security Bulletin) herausgegeben hat. Die in Citrix ADC und Citrix Gateway entdeckten Schwachstellen ermöglichen Angreifern einen Distributed Denial-of-Service-Angriff (DDoS). Der Hersteller hat Updates zum Beseitigen dieser Schwachstellen veröffentlicht. Die US-Behörde CISA fordert zum umgehenden Patchen der als medium und high eingestuften Sicherheitslücken auf.


Anzeige

Ich bin bereits die Nacht über nachfolgenden Tweet von Thorsten E. auf diese Schwachstellen aufmerksam geworden. Citrix hat zum 25. Mai 2022 das Security Bulletin CTX457048 zum Sachverhalt veröffentlicht.

CVE-2022-27507/ CVE-2022-27508 in Citrix ADC / Citrix Gateway

CVE-2022-27507: mittlere Schwere

Bei der mit mittlerer Schwere eingestuften Schwachstelle CVE-2022-27507 ermöglicht ein "Authenticated denial of service" einen unkontrollierten Ressourcenverbrauch, so dass die Produkte in die Knie gehen. Dabei muss auf dem VPN (Gateway) ein virtueller Server mit DTLS aktiviert, und entweder 'HDX Insight für EDT-Verkehr' oder 'SmartControl' konfiguriert, sein. Die Schwachstelle betrifft Citrix ADC und Citrix Gateway mit folgenden Firmware-Versionen:

  • Citrix ADC und Citrix Gateway 13.1 vor 13.1-21.50
  • Citrix ADC und Citrix Gateway 13.0 vor 13.0-85.19
  • Citrix ADC und Citrix Gateway 12.1 vor 12.1-64.17
  • Citrix ADC 12.1-FIPS vor 12.1-55.278
  • Citrix ADC 12.1-NDcPP vor 12.1-55.278

Kunden können mit folgendem CLI-Befehl feststellen, ob DTLS aktiviert ist:

show vpn vserver

Es sollte dann der Status On oder Off gemeldet werden. Kunden können prüfen, ob "HDX Insight für EDT-Verkehr" oder "SmartControl" konfiguriert wurde, indem sie in der Datei ns.conf nach einer VPN vserver policy binding mit einem ICA_REQUEST-Typ suchen:

bind vpn vserver  -policy  -priority 100 -type ICA_REQUEST

Ist der obige Eintrag vorhanden, ist das Produkt so konfiguriert, dass es anfällig für die Schwachstelle ist. Dann sollte ein entsprechendes Update installiert werden.

CVE-2022-27508: Hohe Gefährdung

Diese Schwachstelle wird mit einer hohen Gefährdungsstufe kategorisiert und ermöglicht ebenfalls ein "Authenticated denial of service", da ein Angreifer einen unkontrollierten Ressourcenverbrauch erzwingen kann. Die Appliance muss aber als virtueller VPN- (Gateway) oder AAA-Server konfiguriert sein. Der Citrix ADC und das Citrix Gateway 12.1-64.16 sind von dieser Schwachstelle betroffen.

Alle anderen unterstützten Versionen von Citrix ADC und Citrix Gateway, einschließlich FIPS- und NDcPP-Versionen, sind von diesem Problem nicht betroffen.

Updates installieren oder Features abschalten

Citrix empfiehlt den betroffenen Kunden, die entsprechenden aktualisierten Versionen von Citrix ADC oder Citrix Gateway so bald wie möglich zu installieren.


Anzeige

  • Citrix ADC und Citrix Gateway 13.1-21.50 und spätere Versionen
  • Citrix ADC und Citrix Gateway 13.0-85.19 und spätere Versionen von 13.0
  • Citrix ADC und Citrix Gateway 12.1-64.17 und neuere Versionen von 12.1
  • Citrix ADC 12.1-FIPS 12.1-55.278 und neuere Versionen von 12.1-FIPS
  • Citrix ADC 12.1-NDcPP 12.1-55.278 und spätere Versionen von 12.1-NDcPP

Kunden, die nur von CVE-2022-27507 betroffen sind, DTLS aktiviert haben und "HDX Insight für EDT-Verkehr" oder "SmartControl" konfiguriert haben, können alternativ "HDX Insight für EDT-Verkehr" deaktivieren, um das Problem ohne Upgrade zu beheben. Details hat Citrix im Security Bulletin CTX457048 veröffentlicht


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit Sicherheit, Software verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Schwachstellen CVE-2022-27507 und CVE-2022-27508 in Citrix ADC und Citrix Gateway

  1. MOM20xx sagt:

    bin mal gespannt ob sich irgendwann wer erbarmt und citrix aufkauft. aber ich glaub eher nicht so dran.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.