Netzwerksoftware: Gefährliche Sicherheitslücken bedrohen Citrix ADC & Co.

Citrix Application Delivery Controller (ADC), Gateway und SD-WAN WANOP sind verwundbar. Sind Attacken erfolgreich, könnten Angreifer Informationen leaken oder sogar die volle Kontrolle über ganze Systeme erlangen. Sicherheitspatches sind verfügbar.

Aus einer Warnmeldung von Citrix geht der Schweregrad der elf Schwachstellen nicht hervor. Der Softwarehersteller rät zu einem zügigen Update. Die Auswirkungen der Angriffe klingen gefährlich, doch keine der Lücken im Management-Interface und Virtual IP (VIP) lässt sich ohne Voraussetzungen ausnutzen. Citrix versichert, dass sie bislang keine Attacken beobachtet haben.

Attacken nicht ohne Weiteres möglich

Es sind zwar Angriffe aus der Ferne und ohne Authentifizierung möglich, doch in diesen Fällen müssen Opfer mitspielen. Eine Voraussetzung für eine erfolgreiche Attacke ist beispielsweise, dass ein Opfer einen Link auf eine von einem Angreifer kontrollierte Website öffnet. In einem anderen Fall muss ein Opfer als Admin angemeldet sein. In einer anderen Situation muss eine SSL-VPN-Verbindung oder ein AAA-Endpoint konfiguriert sein. Erst dann könnte ein entfernter Angreifer ohne Anmeldung Software via DoS-Attacke lahmlegen.

In der Warnmeldung findet man weitere Infos zu den Lücken (u.a. CVE-Nummern) und welche Versionen konkret betroffen sind. Die folgenden Ausgaben sind repariert:

• Citrix ADC and Citrix Gateway ab 13.0-58.30
  
• Citrix ADC and NetScaler Gateway ab 12.1-57.18
• Citrix ADC and NetScaler Gateway ab 12.0-63.21 
• Citrix ADC and NetScaler Gateway ab 11.1-64.14 
• NetScaler ADC and NetScaler Gateway ab 10.5-70.18
• Citrix SD-WAN WANOP ab 11.1.1a
• Citrix SD-WAN WANOP ab 11.0.3d
• Citrix SD-WAN WANOP ab 10.2.7
• Citrix Gateway Plug-in für Linux ab 1.0.0.137

(des)