Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar

Sicherheit (Pexels, allgemeine Nutzung)[English]Ich würde vermuten, dass bei Citrix-Nutzern mal wieder die "Hütte am brennen ist", denn zur kürzlich bekannt gewordenen Schwachstelle CVE-2023-4966 liegen nun weitere Informationen vor. Unter dem Begriff "Citrix Bleed" haben Sicherheitsforscher beschrieben, wie Citrix NetScaler ADC und Gateway Sitzungs-Tokens an Angreifer verraten und ein Proof of Concept (PoC) vorgelegt. Citrix hatte Anfang Oktober 2023 Hinweise zur Schwachstelle veröffentlicht.


Anzeige

Citrix warnt vor Schwachstelle CVE-2023-4966

Citrix hat zum 10. Oktober 2023 die Sicherheitswarnung CTX579459 (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967) herausgegeben. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitslücken entdeckt. NetScaler ADC und NetScaler Gateway enthalten die folgenden, nicht authentifizierten Puffer-Schwachstellen:

  • CVE-2023-4966: Sensitive information disclosure-Schwachstelle; CVSS Index 9,4;
  • CVE-2023-4967: Denial of service-Schwachstelle; CVSS Index 8,2;

Betroffen sind nur vom Kunden verwaltete NetScaler ADC- und NetScaler Gateway-Produkte. Betroffene Kunden wurden aufgefordert, entsprechenden aktualisierten Versionen von NetScaler ADC und NetScaler Gateway so bald wie möglich zu installieren. Ich hatte die Details im Blog-Beitrag Citrix NetScaler ADC und Gateway: Schwachstellen (CVE-2023-4966 und CVE-2023-4967) beschrieben.

Citrix NetScaler ist ein Netzwerkgerät, das Load Balancing-, Firewall- und VPN-Dienste bereitstellt. NetScaler Gateway bezieht sich in der Regel auf die VPN- und Authentifizierungskomponenten, während ADC sich auf die Lastausgleichs- und Verkehrsmanagementfunktionen bezieht. Die Produkte sind immer wieder für Probleme und Schwachstellen gut.

Dringende Warnung vor Ausnutzung

Die Tage las ich bei den Kollegen von Bleeping Computer, dass Citrix Administratoren aufforderte, dringend die NetScaler-Schwachstelle CVE-2023-4966 zu patchen. Mandiant hatte eine laufende Ausnutzung dieser Schwachstelle entdeckt. Mandiant gab an, dass Bedrohungsakteure seit Ende August 2023 die 0-Day Schwachstelle CVE-2023-4966  ausnutzen, um Authentifizierungssitzungen zu stehlen und Konten zu kapern, wodurch die Angreifer die Multifaktor-Authentifizierung oder andere starke Authentifizierungsanforderungen umgehen können.

Citrix Bleed: PoC zu CVE-2023-4966

Nun haben Sicherheitsforscher von Assenote unter dem Titel "Citrix Bleed" ihre Analyse der Schwachstelle CVE-2023-4966 auf Basis einer Reverse-Analyse des Patches vorgelegt. Nachfolgender Post auf BlueSky weist auf den Artikel Citrix Bleed: Leaking Session Tokens with CVE-2023-4966 mit den Details hin.

Die Sicherheitsforscher interessierten sich etwas genauer für die Schwachstelle CVE-2023-4966, die als "Offenlegung sensibler Informationen" beschrieben wurde und mit einem CVSS-Wert von 9,4 versehen wurde. Die hohe Einstufung des CVSS-Werts für eine Sicherheitslücke die nur eine Offenlegung von Informationen thematisierte und die Erwähnung von "pufferbezogenen Sicherheitslücken" weckten das Interesse der Sicherheitsforscher.

Deren Ziel war es, die Schwachstelle zu verstehen und eine Prüfung für unsere Attack Surface Management-Plattform zu entwickeln. Dieses Vorhaben ist den Sicherheitsforschern gelungen und die konnten ein Proof of Concept (PoC) vorlegen, was im Detail im Beitrag beschrieben ist.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar

  1. 1ST1 sagt:

    Die Hütte müsste nicht brennen, wenn man die Sicherheitsupdates vom 10.10 schon eingespielt hätte (das ist schon 16 Tage her!), die CVE-2023-4966 ist damit nämlich eigentlich schon geschlossen. Das Ding scheint außerordentlich kritisch zu sein, immerhin hat Citrix jetzt nun schon zum dritten Mal aufgefordert, die Hütte endlich zu patchen. Ich kann soweit bestätigen, dass die Zahl der Portscans und auch Bruteforce-Attacken mit gängigen Usernamen und Passwortlisten auf unser Portal Mitte Oktober signifikant zugenommen hat, aber mit so generischen Usernamen (lassen sich aus dem Syslog extrahieren) und ohne zweiten Faktor kommt man zumindestens bei Bruteforce nicht weit, aber die Hütte ist Dank des Updates schon hoffentlich zu, und zwischenzeitlich ein paar Schurkenstaaten per Geoblocking auf der vorgeschalteten Firewall komplett aus der Schusslinie entfernt.

    12.10.2023 https://www.borncity.com/blog/2023/10/12/citrix-netscaler-adc-und-gateway-schwachstellen-cve-2023-4966-und-cve-2023-4967/

    https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

    Citrix hat den Artikel am 10.10 erstellt und am 23.10 aktualisiert.

  2. Manuel Winkel (www.deyda.net) sagt:

    Ich hoffe das ihr nicht nur den Patch installiert habt, sondern auch die Session Token alle beendet /gelöscht habt,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.