Jetzt patchen! Weltweit über 15.000 Citrix-Server angreifbar

Netzwerk-Admins, die Citrix Gateway oder Netscaler ADC einsetzen, sollten ihre Server zügig auf den aktuellen Stand bringen. Der Grund ist eine kritische Sicherheitslücke, an der Angreifer bereits für Schadcode-Attacken ansetzen.

Wie Sicherheitsforscher von Shadowserver nun herausgefunden haben, sind weltweit noch über 15.000 Systeme nicht gepatcht und somit angreifbar. Mit fast 6000 verwundbaren Instanzen führt die USA die Liste an. Deutschland kommt mit 1500 Systemen auf Platz zwei.

Um die verwundbaren Server zu entdecken, haben die Sicherheitsforscher das Internet gescannt und alle Citrix-Instanzen, die einen Versions-Hash zurückliefen, als verwundbar eingestuft. Zu diesem Schluss kommen sie, da aktuelle abgesicherte Versionen die Hash-Informationen nicht mehr anzeigen.

Die Lücke

Die Sicherheitslücke (CVE-2023-3519) ist mit dem Bedrohungsgrad „kritisch“ eingestuft. Als Voraussetzung für erfolgreiche Attacken müsse Gateway und Netscaler ADC als VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy oder als AAA Virtual Server konfiguriert sein. Ist das der Fall, sollen Schadcode-Attacken aus der Ferne ohne Authentifizierung möglich sein.

So eine Verwundbarkeit gilt als besonders gefährlich, da Angreifer Systeme darüber in der Regel komplett kompromittieren können. Citrix rät Admins zu einem sofortigen Update. Mit den Updates haben die Entwickler noch zwei weitere Lücken (CVE-2023-3466 „hoch“, CVE-2023-3467 „hoch“) geschlossen.

Jetzt patchen!

Die Schwachstelle ist seit Mitte Juli bekannt. Sicherheitsupdates stehen seitdem zum Download bereit. Sicherheitsforscher zeigen, wie Admins prüfen können, ob ihre Systeme bereits attackiert wurden. Berichten zufolge wurde ein erster Exploit seit Anfang Juli 2023 in einem Untergrundforum gehandelt.

(des)