Update #1: Kritische Sicherheitslücke in Citrix NetScaler ADC und NetScaler Gateway - aktiv ausgenutzt - Updates verfügbar
20. Oktober 2023
Beschreibung
Eine kritische Schwachstelle in Citrix/Netscaler ADC und Citrix Gateway erlaubt es unauthentifizierten Angreifer:innen, bestehende, authentifizierte Sessions zu übernehmen. Diese Schwachstelle wird zumindest seit Ende August 2023 bei Angriffen gegen Ziele in verschiedenen Sektoren aktiv ausgenutzt.
CVE-Nummer(n): CVE-2023-4966
CVSS Base Score: 9.4
Auswirkungen
Die Übernahme von bestehenden, authentifizierten Sessions ermöglicht es Angreifer:innen, jegliche Authentifizierungsmethoden, egal ob nur Benutzer:innenname/Passwort oder auch Mehrfaktor, zu umgehen.
Je nach Berechtigungen der übernommenen Session können Angreifer:innen unbefugt auf weitere Ressourcen im Netzwerk zugreifen, möglicherweise Anmeldedaten (z.B. Benutzer:innennamen und Passwörter) stehlen, oder sich Zugriff zu weiteren Netzwerken verschaffen.
Betroffene Systeme
- NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
- NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
- NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
- NetScaler ADC 13.1-FIPS before 13.1-37.164
- NetScaler ADC 12.1-FIPS before 12.1-55.300
- NetScaler ADC 12.1-NDcPP before 12.1-55.300
In allen Fällen betrifft die Sicherheitslücke nur solche Instanzen von NetScaler ADC und NetScaler Gateway, die von Kund:innen selbst betrieben werden. Systeme, die von Citrix verwaltet werden ("Citrix-managed cloud servcies", "Citrix-managed Adaptive Authentication") sind nicht betroffen.
Detektion
CERT.at stellt via Github ein Skript zur Verfügung, welches genutzt werden kann, um Citrix-Logs nach potenziell übernommenen Sessions zu durchsuchen. Sollten auffällige Sessions gefunden werden, wird eine tiefergehende Analyse empfohlen.
Abhilfe
Der Hersteller hat für alle betroffenen Systeme, die noch unterstützt werden, Aktualisierungen bereitgestellt. In folgenden Versionen ist die Schwachstelle behoben:
- NetScaler ADC and NetScaler Gateway 14.1-8.50 and later releases
- NetScaler ADC and NetScaler Gateway 13.1-49.15 and later releases of 13.1
- NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP
Kund:innen, die nicht mehr unterstützte Versionen von NetScaler ADC und NetScaler Gateway im Einsatz haben, empfiehlt der Hersteller ein Upgrade auf eine noch unterstützte Version.
Nach erfolgreichter Aktualisierung wird empfohlen, alle bestehenden Sessions zu terminieren. Dies ist mit folgendem Befehl möglich, wobei "vServer" hier der Name des virtuellen Servers / der Appliance ist:
clear lb persistentSessions vServer
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Änderungshistorie
20. Oktober 2023: Initiale Fassung
30. Oktober 2023; Update #1: Ergänzung Detektions-Skript CERT.at
Informationsquelle(n):
Citrix Security Bulletin CTX579459 (englisch)
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966) (englisch)
https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation (englisch)
https://services.google.com/fh/files/misc/citrix-netscaler-adc-gateway-cve-2023-4966-remediation.pdf
Github.com - certat/citrix-logchecker
https://github.com/certat/citrix-logchecker