Update vom 17. Januar 2020
Gemäss Information von Citrix ist neben den erwähnten Systeme auch die Citrix SD-WAN WANOP Appliance von dieser Lücke bedroht. Zudem wurde von Citrix bekannt gegeben, dass der Workaround in Citrix ADC Release 12.1 mit Firmware älter als 51.16/51.19 sowie 50.31 nicht korrekt funktioniert. Betroffene sollen ihre Systeme vorher upgraden und anschliessend den Workaround durchführen.
Administratoren von Citrix ADC und Citrix Gateway aufgepasst! Die Directory Traversal Sicherheitslücke (CVE-2019-19781, CTX267027) wird seit Veröffentlichung von Exploits massiv ausgenutzt.
Was ist bekannt
Am 17. Dezember 2019 gab Citrix bekannt, dass der Citrix Application Delivery Controller und der Citrix Gateway von einer Remote Code Execution Lücke betroffen sind. Citrix veröffentlichte zudem einen Workaround zu dieser Lücke und es kehrte wieder Ruhe ein…
Bis letzte Woche der erste Exploit veröffentlicht wurde. Nun wurde eine massive Angriffswelle auf die Lücke festgestellt.
Was ist zu tun
Als Administrator eines betroffenen Geräts wird dringend dazu geraten, den von Citrix veröffentlichte Workaround einzuspielen, da Patchs aktuell noch nicht zur Verfügung stehen. Der Workaround wird hier beschrieben. Um zu überprüfen ob eure Geräte verwundbar sind, hat die Cybersecurity and Infrastructure Security Agency (CISA) auf Github ein Tool veröffentlicht.
Wann gibt es Patchs?
Citrix hat mittlerweile die Timeline zur Veröffentlichung von Patchs bekanntgegeben. Diese werden voraussichtlich wie folgt erscheinen:
Citrix ADC und Citrix Gateway
Version | Refresh Build | Expected Release Date |
10.5 | 10.5.70.x | 31. Januar 2020 |
11.1 | 11.1.63.x | 20. Januar 2020 |
12.0 | 12.0.63.x | 20. Januar 2020 |
12.1 | 12.1.55.x | 27. Januar 2020 |
13.0 | 13.0.47.x | 27. Januar 2020 |
Citrix SD-WAN WANOP
Release | NetScaler Release | Expected Release Date |
10.2.6 | 11.1.63.x | 27th January 2020 |
11.0.3 | 11.1.63.x | 27th January 2020 |
Weitere Infos
Unter folgenden Links erfahren Sie mehr über die aktuelle Situation:
- https://www.trustedsec.com/blog/critical-exposure-in-citrix-adc-netscaler-unauthenticated-remote-code-execution/
- https://www.citrix.com/blogs/2020/01/11/citrix-provides-update-on-citrix-adc-citrix-gateway-vulnerability/
- https://www.trustedsec.com/blog/netscaler-honeypot/
- https://www.trustedsec.com/blog/netscaler-remote-code-execution-forensics/
- https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+are+Public+and+Heavily+Used+Attempts+to+Install+Backdoor/25700/
- https://www.virustotal.com/gui/file/2052f1e7830e2d86a356a0532d3c2728b88d674a4384727ea7df1d3522a5ed05