Kurzmeldung: Verwundbarkeiten in Citrix – Updateempfehlung!

Mehrere Schwachstellen wurden in Citrix ADC (früher bekannt als NetScaler ADC), Citrix Gateway (früher bekannt als NetScaler Gateway) und Citrix SD-WAN WANOP Appliance-Modelle 4000-WO, 4100-WO, 5000-WO und 5100-WO entdeckt. Diese Schwachstellen können, wenn sie ausgenutzt werden, zu einer Reihe von Sicherheitsproblemen führen.

Angriffe, die auf die Verwaltungsschnittstelle beschränkt sind:

• Systemkompromittierung durch einen nicht authentifizierten Benutzer im Verwaltungsnetzwerk.
• Systemkompromittierung durch Cross Site Scripting (XSS) auf der Verwaltungsschnittstelle
• Erstellung eines Download-Links für das Gerät, der, wenn er von einem nicht authentifizierten Benutzer im Verwaltungsnetzwerk heruntergeladen und dann ausgeführt wird, zur Kompromittierung seines lokalen Computers führen kann.

Mildernde Faktoren: Kunden, die ihre Systeme in Übereinstimmung mit den Citrix-Empfehlungen in https://docs.citrix.com/en-us/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html konfiguriert haben, haben ihr Risiko von Angriffen auf die Verwaltungsschnittstelle erheblich verringert.

Angriffe, die auf eine virtuelle IP (VIP) anwendbar sind

• Denial of Service entweder gegen die virtuellen Gateway- oder Authentifizierungsserver durch einen nicht authentifizierten Benutzer (der virtuelle Server mit Lastausgleich ist davon nicht betroffen).
• Remote-Port-Scannen des internen Netzwerks durch einen authentifizierten Citrix-Gateway-Benutzer. Angreifer können nur erkennen, ob eine TLS-Verbindung mit dem Port möglich ist und können nicht weiter mit den Endgeräten kommunizieren.

Mildernde Faktoren: Kunden, die weder den virtuellen Gateway- noch den Authentifizierungsserver aktiviert haben, sind nicht dem Risiko von Angriffen ausgesetzt, die auf diese Server anwendbar sind. Andere virtuelle Server, z.B. virtuelle Server mit Lastausgleich und Content-Switching, sind von diesen Problemen nicht betroffen.

Darüber hinaus wurde eine Schwachstelle im Citrix Gateway Plug-in für Linux gefunden, die es einem lokal angemeldeten Benutzer eines Linux-Systems, auf dem dieses Plug-in installiert ist, erlauben würde, seine Privilegien auf ein Administratorkonto auf diesem Computer zu erhöhen.

Die Schwachstellen haben die folgenden Bezeichnungen:

Was Kunden tun sollten

Feste Builds wurden für alle unterstützten Versionen von Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP veröffentlicht. Citrix empfiehlt Kunden dringend, diese Updates sofort zu installieren.

Die neuesten Builds können von https://www.citrix.com/downloads/citrix-adc/ , https://www.citrix.com/downloads/citrix-gateway/ und https://www.citrix.com/downloads/citrix-sd-wan/ heruntergeladen werden.

Kunden, die nicht in der Lage sind, sofort auf die neueste Version zu aktualisieren, wird empfohlen, sicherzustellen, dass der Zugriff auf die Verwaltungsschnittstelle eingeschränkt ist. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html.

Benutzer mit Citrix Gateway Plug-in für Linux sollten sich bei einer aktualisierten Version von Citrix Gateway anmelden und „Netzwerk-VPN-Modus“ wählen. Citrix Gateway fordert den Benutzer dann zum Update auf.

Kunden mit dem von Citrix verwalteten Citrix Gateway-Dienst müssen keine Maßnahmen ergreifen.