Achtung: Neue kritische Sicherheitslücken im Citrix NetScaler
Die Schwachstelle des NetScaler wird bereits aktiv ausgenutzt: Reagieren Sie jetzt!
+++++++++++++
Update 2024:
Die folgende Nachricht ist veraltet. Für neuste Nachrichten über Citrix NetScaler, klicken Sie bitte hier.
+++++++++++++
Ein sofortiges Einspielen eines Updates ist notwendig!
Drei verschiedene Sicherheitslücken wurden im Bulletin beschrieben:
Die Sicherheitslücke CVE-2023-3519 wird laut Citrix bereits aktiv ausgenutzt! Die CVE-2023-3519 ist eine *nicht authentifizierte Remote Code Execution* über die Gateway/die AAA-Funktion, hierfür ist das CVSS Rating 9,8 sehr hoch.
Nicht jeder setzt die Gateway- oder verwandte AAA-Funktion ein - der große Teil der NetScaler-Nutzenden allerdings schon.
CVE-2023-3466 ist ein Cross Site Scripting Problem und ist z.B. über einen Link ausnutzbar, den jemand anklickt, der sich im Netz der NetScaler NSIP befindet. Der CVSS Score ist 8,3. Im Bulletin ist aber nicht erkennbar, was die Ausnutzung bewirken würde, der Mitre Eintrag ist noch leer.
CVE-2023-3467 beschreibt die Erlangung von Root-Rechten, aber es ist dafür ein bereits authentifizierter Zugriff auf SNIP oder NSIP nötig (Privilege Escalation). Der CVSS ist 8,0.
Betroffen sind NetScaler < 13.0.91.13, im 13.1er Branch < 49.13, sowie die 12.1er Versionen.
Abhilfe schafft das Einspielen einer neuen Firmware: Wir empfehlen dringend, die Sicherheitslücke möglichst zeitnah zu schließen!
Auf folgende Versionen muss mindestens aktualisiert werden:
- NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.13
- NetScaler ADC and NetScaler Gateway 13.0 before 13.0-91.13
- NetScaler ADC 13.1-FIPS before 13.1-37.159
- NetScaler ADC 12.1-FIPS before 12.1-55.297
- NetScaler ADC 12.1-NDcPP before 12.1-55.297
Bitte beachten Sie, dass Citrix ADC und Citrix Gateway Versionen vor 12.1 nicht mehr verfügbar sind, ein Upgrade auf eine der unterstützten Versionen wird empfohlen.
Dieses Bulletin gilt nur für NetScaler ADC und NetScaler Gateway, die von Unternehmen verwaltet werden. Unternehmen, die von Citrix verwaltete Cloud-Dienste oder die von Citrix verwaltete Adaptive Authentication verwenden, müssen keine Maßnahmen ergreifen.
Quellen und weitere Informationen:
Bulletin
NCSC Niederlande
Cisagov USA
NCSC Irland
CERT AT
Weitere Warnungen z.B. auch des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden jetzt sicher zügig folgen. Die kompletten Details sind derzeit auch noch nicht öffentlich zugänglich.
Update 20.07.2023:
Das BSI empfielt auch nach Einspielen des Patches zu prüfen, ob ein Angriff schon stattgefunden hat, respektive IOC zu finden sind: "Des Weiteren sollte auf eine Kompromittierung geprüft werden, in dem nach Webshells bzw. Dateien gesucht wird, die neuer als das Installationsdatum sind. Zusätzlich können IT-Sicherheitsverantwortliche den HTTP-Error-Log oder Shell-Log auf Auffälligkeiten prüfen."
Selbstverständlich können wir Sie hierbei auch unterstützen. Nehmen Sie hierzu gern Kontakt zu uns auf.
Ihr Ansprechpartner
Deniz Ünal
Sales Specialist Data Center