Das BSI hat eine kritische Warnung zu einer CVSS 9.4 Schwachstelle ausgegeben für die Produkte Citrix NetScaler Application Delivery Controller und NetScaler Gateway. Die Lücke gibt Angreifenden den Zugriff auf sensible Informationen ohne Authentifizierung. Laut Spezialist Mandiant wird die Schwachstelle bereits seit längerem ausgenutzt.
Laut dem BSI hat bereits am 10. Oktober 2023 der Hersteller Citrix ein Advisory zu Schwachstellen in den Produkten NetScaler Application Delivery Controller (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) veröffentlicht. Die eine kritische Sicherheitslücke wird gemäß Common Vulnerabilities and Exposures (CVE) unter der Nummer CVE-2023-4966 geführt und nach CVSS mit einem Score von 9.4 („kritisch“) bewertet. Die Schwachstelle erlaubt Angreifenden sensible Informationen ohne Authentifizierung offenzulegen. Dies ermöglicht es authentifizierte Sessions zu übernehmen („Session Hijacking“) und Multifaktoren-Authentifikation (MFA) oder andere Authentifizierungsmittel zu umgehen.
Voller Zugriff ohne Authentifizierung möglich
Das IT-Sicherheitsunternehmen Mandiant hat einen Blogbeitrag am 17. Oktober veröffentlicht. In diesem wird angegeben, dass eine erste Ausnutzung der Schwachstelle CVE-2023-4966 identifiziert wurde, die bereits Ende August 2023 stattfand.
Angreifende können mit authentifizierten Sessions weitere Zugangsdaten sammeln und sich somit möglicherweise höhere Rechte verschaffen und im System sowie Netzwerk ausbreiten. Eine Ausnutzung wurde von Mandiant in Dienstleistungs- und Technologie-Unternehmen sowie bei Regierungs-Organisationen beobachtet.
Betroffene Systeme und Versionen
Betroffen von den Schwachstellen sind alle NetScaler ADC und Gateway Systeme, die als Gateway (VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy) oder AAA Virtual Server konfiguriert wurden und folgende Patchstände aufweisen:
- NetScaler ADC und NetScaler Gateway 14.1 vor 14.1-8.50
- NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-49.15
- NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-92.19
- NetScaler ADC 13.1-FIPS vor 13.1-37.164
- NetScaler ADC 12.1-FIPS vor 12.1-55.300
- NetScaler ADC 12.1-NDcPP vor 12.1-55.300
Wichtig: NetScaler ADC und NetScaler Gateway Version 12.1 haben bereits das End-of-Life (EOL) erreicht und erhalten somit trotz ihrer Verwundbarkeit keine Patches!
Best Practise des BSI
Es ist empfehlenswert alle verbundenen Zugangsdaten, die im Zusammenhang mit der NetScaler Instanz stehen, auszutauschen. Aufgrund des Fehlens von Log Einträgen, die eine Ausnutzung aufzeigen könnten, kann diese nicht auf den NetScaler Systemen detektiert werden. Sollten verdächtige Aktivitäten im Netzwerk beobachtet werden, sollten die Zugangsdaten schnellst möglichst ausgetauscht werden, vor allem, wenn Zugang zu den Systemen mit verdächtigen Aktivitäten aus dem Internet besteht.
NetScaler ADCs oder NetScaler Gateways auf denen WebShells oder andere Backdoors gefunden wurden, sollten mittels eines Source-Image neu aufgesetzt werden, ggf. einspielbare Backups sind auf eine bereits enthaltende Backdoor zu prüfen. Sollte eine Web Application Firewall (WAF) oder andere Systeme vor dem NetScaler System sein, das URL Anfragen loggt, so können diese auf viele Anfragen von verdächtigen Quellen (IPs) untersucht werden.
Mehr bei BSI.Bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.