Citrix Gateway und ADC: Kritische Lücke ermöglicht unbefugten Zugriff
Citrix schließt Sicherheitslücken, durch die Angreifer etwa unberechtigt auf die Gerätefunktionen zugreifen können. Administratoren sollten zügig aktualisieren.
Citrix warnt vor Sicherheitslücken in den ADC und Gateways, die Angreifern unter anderem unbefugte Zugriffe auf Gerätefunktionen erlauben. Eine der Lücken gilt als kritisch. Administratoren sollten betroffene Geräte umgehend aktualisieren.
Teils kritische Lecks
Die Schwachstellen erläutert der Hersteller nur oberflächlich. Wenn ein Citrix Gateway oder ADC als VPN (Gateway) konfiguriert wurde, ermöglicht die schwerwiegendste Lücke unbefugten Zugriff auf Gateway-Benutzerfunktionen (CVE-2022-27510, CVSS 9.8, Risiko "kritisch"). Eine weitere Sicherheitslücke könnte bösartigen Akteuren die Übernahme von Remote-Desktops mittels Phishing erleichtern (CVE-2022-27513, CVSS 8.3, hoch). Auch hier fehlen weiterreichende Informationen, wie Angreifer das anstellen könnten.
Die dritte Lücke betrifft den Schutz vor Brute-Force-Attacken auf Zugänge. Wenn Administratoren die Funktion "Max Login Attempts" konfiguriert haben – Citrix erwähnt nicht, ob das in der Standardkonfiguration der Fall ist –, lässt sich die Schutzfunktion umgehen (CVE-2022-27516, CVSS 5.3, mittel).
Die Schwachstellen schließt der Hersteller mit den Versionen Citrix ADC und Citrix Gateway 13.1-33.47, 13.0-88.12 sowie 12.1-65.21 und jeweils neueren Fassungen. Zudem beheben Citrix ADC 12.1-FIPS 12.1-55.289 und Citrix ADC 12.1-NDcPP 12.1-55.289 sowie neuere Varianten die Fehler, schreibt Citrix in der Sicherheitsmeldung.
Nachgerüstete Zusatzfunktionen
Neben den vorgenannten Sicherheitslücken haben die Entwickler in der Software den Schutz vor HTTP Request Smuggling-Angriffen ergänzt. Administratoren sollten die Anleitung dazu sicherheitshalber einmal durcharbeiten.
Citrix weist darauf hin, dass Citrix ADC und Citrix Gateway vor Version 12.1 an ihrem End-of-Lifecycle angelangt sind und empfiehlt, das Upgrade auf eine der noch unterstützten Versionen vorzunehmen. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig installieren.
Zuletzt mussten Citrix-Administratoren im Juni aktiv werden. Damals gab es Schwachstellen in den Citrix Application Delivery-Management-Systemen (ADM) abzudichten.
(dmk)