Angreifer nutzen derzeit kritische Lücken in Citrix ADC und Gateway aus. Trotz verfügbarer Sicherheitspatches sind viele Instanzen noch nicht gepatcht.
Sicherheitsforscher von Fox IT haben das Internet gescannt und sind weltweit auf zahlreiche verwundbare Citrix-Server gestoßen. Angreifer nutzen bereits "kritische" Sicherheitslücken aus, um sich weitreichenden Zugriff zu verschaffen. Sicherheitspatches sind schon seit November 2022 verfügbar.
Wie aus einem Bericht hervorgeht, haben die Forscher Parameter der HTTP-Antwort analysiert und konnten eigenen Angaben zufolge daraus auf die installierte Version schließen. Die gute Nachricht: Der Großteil hat schon die ADC-/Gateway-Version 13.0-88.14 installiert, in der beide Schwachstellen (CVE-2022-27510, CVE-2022-27518) geschlossen sind.
Jetzt patchen!
Auf rund 3500 Systemen kommt aber noch die Ausgabe 12.1-65.21 zum Einsatz. Darin wurde die Lücke mit der Kennung CVE-2022-27518 noch nicht geschlossen und Angreifer können Schadcode auf Instanzen schieben und ausführen. Das Problem ist, dass genau das seit Dezember 2022 geschieht. Systeme sind aber nur mit SAML SP oder IdP-Konfigurationen angreifbar.
Ob diese Einstellungen aktiv sind, können Admins prüfen, indem sie die ns.conf-Datei auf die Einträge add authentication samlAction (SAML SP) oder add authentication samlIdPProfile (SAML IdP) untersuchen. Tauchen die Einträge auf, könnten Angreifer an der Lücke ansetzen.
Rund 1000 Systeme sind noch über CVE-2022-27510 angreifbar und 3000 Instanzen sind über beide Schwachstellen attackierbar. Bei 3500 Servern konnten die Forscher die installierte Version nicht herausfinden und die Systeme sind potenziell angreifbar.
Attacken auch in Deutschland möglich
Die Forscher geben an, die verwundbaren Citrix-Server unter anderem in den USA, Frankreich und Deutschland entdeckt zu haben.
Quelle; heise
Sicherheitsforscher von Fox IT haben das Internet gescannt und sind weltweit auf zahlreiche verwundbare Citrix-Server gestoßen. Angreifer nutzen bereits "kritische" Sicherheitslücken aus, um sich weitreichenden Zugriff zu verschaffen. Sicherheitspatches sind schon seit November 2022 verfügbar.
Wie aus einem Bericht hervorgeht, haben die Forscher Parameter der HTTP-Antwort analysiert und konnten eigenen Angaben zufolge daraus auf die installierte Version schließen. Die gute Nachricht: Der Großteil hat schon die ADC-/Gateway-Version 13.0-88.14 installiert, in der beide Schwachstellen (CVE-2022-27510, CVE-2022-27518) geschlossen sind.
Jetzt patchen!
Auf rund 3500 Systemen kommt aber noch die Ausgabe 12.1-65.21 zum Einsatz. Darin wurde die Lücke mit der Kennung CVE-2022-27518 noch nicht geschlossen und Angreifer können Schadcode auf Instanzen schieben und ausführen. Das Problem ist, dass genau das seit Dezember 2022 geschieht. Systeme sind aber nur mit SAML SP oder IdP-Konfigurationen angreifbar.
Ob diese Einstellungen aktiv sind, können Admins prüfen, indem sie die ns.conf-Datei auf die Einträge add authentication samlAction (SAML SP) oder add authentication samlIdPProfile (SAML IdP) untersuchen. Tauchen die Einträge auf, könnten Angreifer an der Lücke ansetzen.
Rund 1000 Systeme sind noch über CVE-2022-27510 angreifbar und 3000 Instanzen sind über beide Schwachstellen attackierbar. Bei 3500 Servern konnten die Forscher die installierte Version nicht herausfinden und die Systeme sind potenziell angreifbar.
Attacken auch in Deutschland möglich
Die Forscher geben an, die verwundbaren Citrix-Server unter anderem in den USA, Frankreich und Deutschland entdeckt zu haben.
Quelle; heise
