Update #1: Kritische Sicherheitslücke in Citrix NetScaler ADC und NetScaler Gateway - aktiv ausgenutzt - Updates verfügbar

20. Oktober 2023

Beschreibung

Eine kritische Schwachstelle in Citrix/Netscaler ADC und Citrix Gateway erlaubt es unauthentifizierten Angreifer:innen, bestehende, authentifizierte Sessions zu übernehmen. Diese Schwachstelle wird zumindest seit Ende August 2023 bei Angriffen gegen Ziele in verschiedenen Sektoren aktiv ausgenutzt.

CVE-Nummer(n): CVE-2023-4966

CVSS Base Score: 9.4

Auswirkungen

Die Übernahme von bestehenden, authentifizierten Sessions ermöglicht es Angreifer:innen, jegliche Authentifizierungsmethoden, egal ob nur Benutzer:innenname/Passwort oder auch Mehrfaktor, zu umgehen.

Je nach Berechtigungen der übernommenen Session können Angreifer:innen unbefugt auf weitere Ressourcen im Netzwerk zugreifen, möglicherweise Anmeldedaten (z.B. Benutzer:innennamen und Passwörter) stehlen, oder sich Zugriff zu weiteren Netzwerken verschaffen.

Betroffene Systeme

  • NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
  • NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
  • NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
  • NetScaler ADC 13.1-FIPS before 13.1-37.164
  • NetScaler ADC 12.1-FIPS before 12.1-55.300
  • NetScaler ADC 12.1-NDcPP before 12.1-55.300

In allen Fällen betrifft die Sicherheitslücke nur solche Instanzen von NetScaler ADC und NetScaler Gateway, die von Kund:innen selbst betrieben werden. Systeme, die von Citrix verwaltet werden ("Citrix-managed cloud servcies", "Citrix-managed Adaptive Authentication") sind nicht betroffen.

Detektion

CERT.at stellt via Github ein Skript zur Verfügung, welches genutzt werden kann, um Citrix-Logs nach potenziell übernommenen Sessions zu durchsuchen. Sollten auffällige Sessions gefunden werden, wird eine tiefergehende Analyse empfohlen.

Abhilfe

Der Hersteller hat für alle betroffenen Systeme, die noch unterstützt werden, Aktualisierungen bereitgestellt. In folgenden Versionen ist die Schwachstelle behoben:

  • NetScaler ADC and NetScaler Gateway 14.1-8.50 and later releases
  • NetScaler ADC and NetScaler Gateway  13.1-49.15 and later releases of 13.1
  • NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0
  • NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS
  • NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS
  • NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP

Kund:innen, die nicht mehr unterstützte Versionen von NetScaler ADC und NetScaler Gateway im Einsatz haben, empfiehlt der Hersteller ein Upgrade auf eine noch unterstützte Version.

Nach erfolgreichter Aktualisierung wird empfohlen, alle bestehenden Sessions zu terminieren. Dies ist mit folgendem Befehl möglich, wobei "vServer" hier der Name des virtuellen Servers / der Appliance ist:

clear lb persistentSessions vServer

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Änderungshistorie

20. Oktober 2023: Initiale Fassung

30. Oktober 2023; Update #1: Ergänzung Detektions-Skript CERT.at

Informationsquelle(n):

Citrix Security Bulletin CTX579459 (englisch)
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966) (englisch)
https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966

Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation (englisch)
https://services.google.com/fh/files/misc/citrix-netscaler-adc-gateway-cve-2023-4966-remediation.pdf

Github.com - certat/citrix-logchecker
https://github.com/certat/citrix-logchecker