BSI: Schwachstelle mit 9.4 in Citrix NetScaler ADC und Gateway 

B2B Cyber Security ShortNews

Beitrag teilen

Das BSI hat eine kritische Warnung zu einer CVSS 9.4 Schwachstelle ausgegeben für die Produkte Citrix NetScaler Application Delivery Controller und NetScaler Gateway. Die Lücke gibt Angreifenden den Zugriff auf sensible Informationen ohne Authentifizierung. Laut Spezialist Mandiant wird die Schwachstelle bereits seit längerem ausgenutzt.

Laut dem BSI hat bereits am 10. Oktober 2023 der Hersteller Citrix ein Advisory zu Schwachstellen in den Produkten NetScaler Application Delivery Controller (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) veröffentlicht. Die eine kritische Sicherheitslücke wird gemäß Common Vulnerabilities and Exposures (CVE) unter der Nummer CVE-2023-4966 geführt und nach CVSS mit einem Score von 9.4 (“kritisch”) bewertet. Die Schwachstelle erlaubt Angreifenden sensible Informationen ohne Authentifizierung offenzulegen. Dies ermöglicht es authentifizierte Sessions zu übernehmen (“Session Hijacking”) und Multifaktoren-Authentifikation (MFA) oder andere Authentifizierungsmittel zu umgehen.

Voller Zugriff ohne Authentifizierung möglich

Das IT-Sicherheitsunternehmen Mandiant hat einen Blogbeitrag am 17. Oktober veröffentlicht. In diesem wird angegeben, dass eine erste Ausnutzung der Schwachstelle CVE-2023-4966 identifiziert wurde, die bereits Ende August 2023 stattfand.

Angreifende können mit authentifizierten Sessions weitere Zugangsdaten sammeln und sich somit möglicherweise höhere Rechte verschaffen und im System sowie Netzwerk ausbreiten. Eine Ausnutzung wurde von Mandiant in Dienstleistungs- und Technologie-Unternehmen sowie bei Regierungs-Organisationen beobachtet.

Betroffene Systeme und Versionen

Betroffen von den Schwachstellen sind alle NetScaler ADC und Gateway Systeme, die als Gateway (VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy) oder AAA Virtual Server konfiguriert wurden und folgende Patchstände aufweisen:

  • NetScaler ADC und NetScaler Gateway 14.1 vor 14.1-8.50
  • NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-49.15
  • NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-92.19
  • NetScaler ADC 13.1-FIPS vor 13.1-37.164
  • NetScaler ADC 12.1-FIPS vor 12.1-55.300
  • NetScaler ADC 12.1-NDcPP vor 12.1-55.300

Wichtig: NetScaler ADC und NetScaler Gateway Version 12.1 haben bereits das End-of-Life (EOL) erreicht und erhalten somit trotz ihrer Verwundbarkeit keine Patches!

Best Practise des BSI

Es ist empfehlenswert alle verbundenen Zugangsdaten, die im Zusammenhang mit der NetScaler Instanz stehen, auszutauschen. Aufgrund des Fehlens von Log Einträgen, die eine Ausnutzung aufzeigen könnten, kann diese nicht auf den NetScaler Systemen detektiert werden. Sollten verdächtige Aktivitäten im Netzwerk beobachtet werden, sollten die Zugangsdaten schnellst möglichst ausgetauscht werden, vor allem, wenn Zugang zu den Systemen mit verdächtigen Aktivitäten aus dem Internet besteht.

NetScaler ADCs oder NetScaler Gateways auf denen WebShells oder andere Backdoors gefunden wurden, sollten mittels eines Source-Image neu aufgesetzt werden, ggf. einspielbare Backups sind auf eine bereits enthaltende Backdoor zu prüfen. Sollte eine Web Application Firewall (WAF) oder andere Systeme vor dem NetScaler System sein, das URL Anfragen loggt, so können diese auf viele Anfragen von verdächtigen Quellen (IPs) untersucht werden.

Mehr bei BSI.Bund.de

 


Über das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.


 

Passende Artikel zum Thema

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Google-Leak: Datenbank belegt Datenpannen

Einem Journalist wurde eine Google-Datenbank zugespielt die tausende interne Datenpannen von 2013 bis 2018 enthalten und intern bei Google gelöst ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen

Fluent Bit: Angriff auf Cloud-Dienste über Protokollierungs-Endpunkte

Tenable Research hat in Fluent Bit, einer Kernkomponente der Überwachungsinfrastruktur vieler Cloud-Dienste, eine kritische Sicherheitslücke namens „Linguistic Lumberjack“ entdeckt, die ➡ Weiterlesen