[ziesell]

Zitat:

Sofort updaten: Citrix warnt vor aktiv ausgenutzter Zero-Day-Schwachstelle

Eine kritische Schwachstelle in Citrix Netscaler ADC und Gateway erlaubt Angreifern die Ausführung von Code ohne jegliche Authentifizierung.



Das Softwareunternehmen Citrix warnt seine Kunden derzeit vor drei Sicherheitslücken, die die Produkte Netscaler ADC und Netscaler Gateway betreffen. Eine der Schwachstellen, die als CVE-2023-3519 registriert ist, ist mit einem CVSS von 9,8 als kritisch eingestuft und soll bereits aktiv von Cyberkriminellen ausgenutzt werden, um auf anfälligen Systemen aus der Ferne und ohne Authentifizierung schadhaften Code auszuführen (RCE). Damit Angreifer die Lücke ausnutzen können, muss die jeweilige Appliance als Gateway (virtueller VPN-Server, ICA-Proxy, CVPN, RDP-Proxy) oder als virtueller Authentifizierungsserver (AAA-Server) konfiguriert sein.

Eine weitere genannte Sicherheitslücke (CVE-2023-3466) erlaubt Cyberkriminellen die Ausführung von Cross-Site-S*****ing (XSS), sofern sie sich im selben Netzwerk befinden und eine Person vom Zielsystem aus auf einen bösartigen Link klickt. Durch CVE-2023-3467 hingegen können Angreifer ihre Rechte ausweiten, wobei dafür zumindest ein authentifizierter Zugang erforderlich ist.

Updates sollten zeitnah installiert werden

Citrix fordert Administratoren dazu auf, die für beide Produkte bereitgestellten Sicherheitsupdates "so schnell wie möglich" einzuspielen. Konkret betrachtet der Konzern Netscaler ADC und Netscaler Gateway 13.1-49.13 oder 13.0-91.13 oder eine jeweils neuere Version als geschützt. Netscaler ADC 13.1/12.1-FIPS sollen laut Citrix ab Version 13.1-37.159 respektive 12.1-65.36 geschützt sein. Letztere Versionsnummer gilt ebenso für Netscaler ADC 12.1-NDcPP. All jene, die noch Netscaler ADC oder Netscaler Gateway Version 12.1 im Einsatz haben, weist das Unternehmen darauf hin, dass diese Produkte das Ende ihres Lebenszyklus erreicht haben und Kunden daher auf eine neuere Variante aktualisieren sollten.

Kritische Schwachstelle womöglich schon länger bekannt

Wie Bleeping Computer berichtet, gibt es hinsichtlich CVE-2023-3519 möglicherweise einen Zusammenhang mit einer Anfang Juli in einem Hackerforum aufgetauchten Zero-Day-Schwachstelle für Citrix ADC. Diese sei dem Autor des Forenbeitrags zufolge bis einschließlich Version 13.1 Build 48.47 ausnutzbar.

Um herauszufinden, ob Angreifer eines der betroffenen Systeme kompromittiert haben, soll Administratoren die Suche nach Web-Shells helfen, die nach dem Datum der letzten Installation erzeugt wurden. Aber auch ein Blick in die HTTP-Fehlerprotokolle sowie Shell-Protokolle kann dabei unterstützen, mögliche Spuren aufzudecken, die Cyberkriminelle im Rahmen eines Angriffs hinterlassen haben.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]