Ungepatchte Citrix-Server zu Tausenden über kritische Schwachstellen angreifbar

Sicherheit (Pexels, allgemeine Nutzung)[English]Citrix hat in den letzten Monaten Sicherheitsupdates für kritische Schwachstellen in Citrix ADC- und Gateway-Produkten freigegeben und entsprechende Sicherheitswarnungen veröffentlicht. Es sieht aber so aus, als ob Tausende Citrix ADCs und Citrix Gateways  bezüglich der Schwachstellen CVE-2022-27510 und CVE-2022-27518 verwundbar sind. Die Schwachstellen ermöglichen eine Übernahme der betreffenden Instanzen durch einen Angreifer.


Anzeige

CVE-2022-27510 und CVE-2022-27518

Die Schwachstelle CVE-2022-27510 ermöglicht einen nicht autorisierten Zugriff auf Citrix ADCs und Citrix Gateways. Citrix hat zum  8. November 2022 die Sicherheitswarnung Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516 herausgegeben und auch Firmware-Update für betroffene Produkte veröffentlicht. Die Schwachstelle CVE-2022-27510 wurde mit einem CVE-Index von 9.8 versehen (siehe diesen Rapid7-Bericht).

Die Schwachstelle CVE-2022-27518 wurde am 13. Dezember 2022 von Citrix in der Sicherheitswarnung Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518 aufgegriffen. Die Schwachstelle ermöglicht einem nicht authentifizierten Angreifer die Ausführung von beliebigem Code in Citrix Gateways und Citrix ADCs. Ich hatte im Blog-Beitrag Kritische Schwachstelle CVE-2022-27518 in Citrix ADC und Gateway berichtet.

Citrix merkte seinerzeit an, dass es eine kleine Anzahl von gezielten Angriffen gibt, die diese Sicherheitslücke ausnutzen. in oben genanntem Blog-Beitrag wurde bereits in den Kommentaren darauf hin gewiesen, dass es Diskrepanzen zwischen dem Datum der Warnung (13. Dez. 2022) und den im Advisory genannten Firmware-Versionen der Updates gäbe. Einige Sicherheitsupdates wurden weit vor dem 13. Dez. 2022 veröffentlicht, ohne dass in den Change logs auf die Schwachstelle  CVE-2022-27518 hingewiesen wurde.

Weiterhin Tausende Citrix Geräte ungepatcht

Citrix ADC- und Gateway-Server sind aufgrund der Art der Geräte (Appliances) in der Regel mit dem Internet verbunden. Dienste wie Shodan und Censys scannen regelmäßig das Internet und identifizieren diese Geräte bzw. Server. Sicherheitsforscher Yun Zheng Hu von Fox IT schlägt in diesem Beitrag vom 28. Dezember 2022 Alarm. Man hat die oben genannten Dienste genutzt, um nach Citrix ADC- und Citrix Gateway-Servern zu suchen, deren SSL VPN-/Gateway-Dienst vom Internet erreichbar ist. Mit Stand 11. November 2022 wurden etwa 28.000 Server im Internet gefunden.

Die Abfrage liefert aber keine Versionsinformationen. In der Antwort auf die abgefragten Server wird aber ein MD5-Hash ähnlicher Wert gemeldet, den man nutzen konnte, um die Citrix ADC und Citrix Gateway Produktversionen zu ermitteln. Sicherheitsforscher Yun Zheng Hu geht in seinem Beitrag ausführlich darauf ein, wie er die Auswertung der gefundenen Citrix-Geräte und die Selektion der verwendeten Firmware-Versionen erstellt hat.

Citrix ADC and Gateway applicances in the Internet
Source: Fox IT

Obiges Diagramm zeigt die Auflistung der per Internet erreichbaren Citrix ADCs und Gateways, geordnet nach Firmware-Versionen. Die Balken zeigen die Zahl der gefundenen Geräte, die per Internet erreichbar sind. Die Farben geben an, ob eine Firmware-Version im Hinblick auf die oben erwähnten Schwachstellen ungepatcht ist. Grüne Balken zeigen Instanzen an, die auf dem aktuellen Patch-Stand sind. Aber es gibt den orangen Balken zur Version 12.1-65.21, die gleiche mehrere Tausende Geräteinstanzen (mehr als 3.500) aufweist, die über die Schwachstelle CVE-2022-27518 angreifbar sind. Weitere Firmware-Versionen sind gegenüber beiden Schwachstellen ungepatcht. Der Sachverhalt wurde von Bleeping Computer hier erstmals aufgegriffen. Ich gehe mal davon aus, dass die Blog-Leserschaft, die für solche Citrix-Geräte verantwortlich ist, diese mit entsprechenden Updates versorgt hat.

Ähnliche Artikel:
Kritische Schwachstelle CVE-2022-27518 in Citrix ADC und Gateway
Schwachstelle in Citrix Workspace App for Windows ermöglicht Passwort-Klau
Citrix und die Open SSL 3.0-Schwachstellen CVE-2022-3602, CVE-2022-3786
Gelöschte Citrix Meldung CTX474060 besagt: ADCs zeigt bis Version 13.1 33.x Lizenzstatus nach Upgrade als "freemium"


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Ungepatchte Citrix-Server zu Tausenden über kritische Schwachstellen angreifbar

  1. Blubmann sagt:

    Wird das Shitrix 2.0 passend zum Jahreswechsel?

  2. R.S. sagt:

    Mir kommt das so vor, als wenn sehr viele ITler ganz tief pennen.
    Anders ist es kaum zu erklären, das noch so viele ungepatchte Systeme gefunden werden, und nicht nur bei Citrix, sondern auch z.B, wie hier im Blog schon thematisiert auch z.B bei MS Exchange.
    Und wohl noch bei vielen anderen Systemen.
    Wann lernen die verantwortlichen Leute endlich, das IT-Sicherheit in der Prioritätenliste eines jeden Unternehmens auf Platz 1 gehört?
    Sicherheitslecks in der IT können die Existenz des ganzen Unternehmens gefährden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.