Citrix warnt vor Sicherheitslücken in den ADC und Gateways, die Angreifern unter anderem unbefugte Zugriffe auf Gerätefunktionen erlauben. Eine der Lücken gilt als kritisch. Administratoren sollten betroffene Geräte umgehend aktualisieren.
Die dritte Lücke betrifft den Schutz vor Brute-Force-Attacken auf Zugänge. Wenn Administratoren die Funktion "Max Login Attempts" konfiguriert haben – Citrix erwähnt nicht, ob das in der Standardkonfiguration der Fall ist –, lässt sich die Schutzfunktion umgehen (CVE-2022-27516, CVSS 5.3, mittel).
Die Schwachstellen schließt der Hersteller mit den Versionen Citrix ADC und Citrix Gateway 13.1-33.47, 13.0-88.12 sowie 12.1-65.21 und jeweils neueren Fassungen. Zudem beheben Citrix ADC 12.1-FIPS 12.1-55.289 und Citrix ADC 12.1-NDcPP 12.1-55.289 sowie neuere Varianten die Fehler, schreibt
Citrix weist darauf hin, dass Citrix ADC und Citrix Gateway vor Version 12.1 an ihrem End-of-Lifecycle angelangt sind und empfiehlt, das Upgrade auf eine der noch unterstützten Versionen vorzunehmen. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig installieren.
Zuletzt mussten Citrix-Administratoren im Juni aktiv werden. Damals gab es
Quelle: heise
Teils kritische Lecks
Die Schwachstellen erläutert der Hersteller nur oberflächlich. Wenn ein Citrix Gateway oder ADC als VPN (Gateway) konfiguriert wurde, ermöglicht die schwerwiegendste Lücke unbefugten Zugriff auf Gateway-Benutzerfunktionen (CVE-2022-27510, CVSS 9.8, Risiko "kritisch"). Eine weitere Sicherheitslücke könnte bösartigen Akteuren die Übernahme von Remote-Desktops mittels Phishing erleichtern (CVE-2022-27513, CVSS 8.3, hoch). Auch hier fehlen weiterreichende Informationen, wie Angreifer das anstellen könnten.Die dritte Lücke betrifft den Schutz vor Brute-Force-Attacken auf Zugänge. Wenn Administratoren die Funktion "Max Login Attempts" konfiguriert haben – Citrix erwähnt nicht, ob das in der Standardkonfiguration der Fall ist –, lässt sich die Schutzfunktion umgehen (CVE-2022-27516, CVSS 5.3, mittel).
Die Schwachstellen schließt der Hersteller mit den Versionen Citrix ADC und Citrix Gateway 13.1-33.47, 13.0-88.12 sowie 12.1-65.21 und jeweils neueren Fassungen. Zudem beheben Citrix ADC 12.1-FIPS 12.1-55.289 und Citrix ADC 12.1-NDcPP 12.1-55.289 sowie neuere Varianten die Fehler, schreibt
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Nachgerüstete Zusatzfunktionen
Neben den vorgenannten Sicherheitslücken haben die Entwickler in der Software den Schutz vor HTTP Request Smuggling-Angriffen ergänzt. Administratoren solltenDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
sicherheitshalber einmal durcharbeiten.Citrix weist darauf hin, dass Citrix ADC und Citrix Gateway vor Version 12.1 an ihrem End-of-Lifecycle angelangt sind und empfiehlt, das Upgrade auf eine der noch unterstützten Versionen vorzunehmen. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig installieren.
Zuletzt mussten Citrix-Administratoren im Juni aktiv werden. Damals gab es
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Quelle: heise
