Update #1 - Sicherheitslücken, teils kritisch, in Citrix/Netscaler ADC und Gateway - aktiv ausgenützt - Updates verfügbar

18. Juli 2023

Update #1: 21. Juli 2023, 16:30

Beschreibung

Eine kritische Schwachstelle in Citrix/Netscaler ADC und Citrix Gateway erlaubt es unauthentisierten Angreifenden, beliebigen Code auszuführen. Diese Schwachstelle wird auch bereits aktiv ausgenützt.

Weitere mit diesen Updates geschlossene Sicherheitslücken betreffen Reflected Cross Site Scripting (XSS) sowie Privilege Escalation.

CVE-Nummer(n): CVE-2023-3519 (sowie CVE-2023-3466, CVE-2023-3467)

CVSS Base Score: 9.8

Auswirkungen

Falls die Appliance als Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) oder
AAA Virtual Server konfiguriert ist, können Angreifende beliebigen Code ausführen. Dadurch sind alle durch das Gerät erreichbaren Services und Daten gefährdet.

Betroffene Systeme

  • NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-49.13
  • NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-91.13
  • NetScaler ADC 13.1-FIPS vor 13.1-37.159
  • NetScaler ADC 12.1-FIPS vor 12.1-65.36
  • NetScaler ADC 12.1-NDcPP vor 12.65.36

Citrix weist speziell darauf hin, dass Appliances mit NetScaler ADC and NetScaler Gateway Version 12.1 als End Of Life (EOL) angesehen werden, und keine Updates mehr für diese zur Verfügung gestellt werden.

Abhilfe

Installation der zur Verfügung gestellten Updates.

Update #1: 21. Juli 2023, 16:30
Es wurden verschiedene Möglichkeiten veröffentlicht um Citrix Netscaler einerseits auf Verwundbarkeit und andererseits auf bisherige Ausnutzung der Sicherheitslücke zu überprüfen.
Wir haben den Punkt "Informationsquellen" um diese erweitert.

 

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Citrix Security Bulletin CTX561482 (englisch)
https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467

Artikel bei CISA (englisch)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a

Artikel bei Assetnote (Englisch)
https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/

Artikel bei heise
https://www.heise.de/news/Citrix-Zero-Days-Systeme-auf-Angriffspuren-untersuchen-9221655.html