Sicherheitslücken
Unit 42 veröffentlicht neue Erkenntnisse zu den Citrix Sicherheitslücken
Schwachstellen werden bereits ausgenutzt
Unit 42, die Forschungsabteilung für Cyberattacken von Palo Alto Networks, warnt vor einer Schwachstelle in Citrix Application Delivery Controller (ADC) und Citrix Gateway, die es Angreifern ermöglicht, aus der Ferne verschiedene bösartige Aktivitäten auszuführen. So können sie auf einfache Weise Directory-Traversal-Anfragen senden, ohne Benutzerauthentifizierung sensible Informationen aus Systemkonfigurationsdateien lesen und beliebigen Code von außen ausführen.
Diese Schwachstelle betrifft einschließlich aller unterstützten Builds die Produktversionen und Plattformen Citrix ADC und Citrix Gateway Version 13.0, Citrix ADC und NetScaler Gateway Version 12.1, 12.0 und 11.1 sowie Citrix NetScaler ADC und NetScaler Gateway Version 10.5.
Die Security-Schwachstelle wird unter CVE-2019-19781 fortlaufend beobachtet. Die Forscher von Palo Alto Networks fanden zuletzt weitere Scanning-Aktivitäten in freier Wildbahn, die diese Schwachstelle ausnutzen, und haben seit der Bekanntgabe der Schwachstelle am 10. Januar zusätzliche Kompromittierungsindikatoren (IoC) identifiziert. Die Schwachstelle ist in Unternehmensumgebungen auf der ganzen Welt weit verbreitet und wird laut Unit 42/Palo Alto Networks sowie anderen Sicherheitsforschungsgruppen in großem Stil von Kriminellen ausgenutzt. Dies ist auf einfache Weise möglich, da die Schwachstelle die Ausführung von Remote-Code begünstigt.
Am 17. Dezember 2019 veröffentlichte Citrix das Security Bulletin CTX267027 und die Mitigation Steps CTX267679 , die vor möglichen Angriffen schützen sollen. Citrix gab außerdem bekannt, dass Ende Januar ein Patch für Citrix ADC und Citrix Gateway 10, 11, 12 und 13 veröffentlicht wird. Ebenso empfiehlt Citrix den Benutzern die Anwendung einer speziellen Responder-Richtlinie, um Exploit-Versuche zu filtern. Die Schritte zur Schadensbegrenzung beschreiben Techniken zum Blockieren von Anfragen, die einen Versuch der Verzeichnisdurchquerung (Directory Traversal) enthalten, und von Anfragen, um auf das Verzeichnis /vpns/ zuzugreifen. Systemadministratoren wird dringend empfohlen, diese Abwehrstrategie einzusetzen, während sie auf eine ordnungsgemäße Behebung der Schwachstelle warten.
Weitere Details zu den jüngsten Erkenntnissen rund um die IT-Sicherheitsschwachstellen in Citrix finden Sie unter https://unit42.paloaltonetworks.com/exploits-in-the-wild-for-citrix-adc-and-citrix-gateway-directory-traversal-vulnerability-cve-2019-19781/