Citrix schließt Sicherheitslücken in Netscaler ADC und Gateway und weitere
Citrix hat Sicherheitsupdates zum Ausbessern von Schwachstellen in Netscaler ADC, Gateway und Session Recording herausgegeben.
(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)
Citrix hat Updates zum Schließen von Sicherheitslücken veröffentlicht. Für Angriffe verwundbar sind Citrix Netscaler ADC, Netscaler Gateway und Session Recording. Die US-amerikanische IT-Sicherheitsbehörde CISA geht davon aus, dass einige der Lücken Angreifern die Übernahme der Kontrolle von betroffenen Systemen ermöglichen.
In der Sicherheitsmitteilung von Citrix zu den Schwachstellen in Netscaler ADC und Netscaler Gateway erklären die Entwickler, dass es "zu Speicherschutzverletzungen kommen kann, die zu Speicherbeschädigungen und Denial-of-Service" führen können. Es sind also offenbar Zugriffe auf Speicher außerhalb vorgesehener Grenzen möglich. Konkrete Auswirkungen neben DoS nennt Citrix nicht, aber der Schweregrad legt nahe, dass dadurch Codeschmuggel möglich ist (CVE-2024-8534, CVSS 8.4, Risiko "hoch"). Zudem können authentifizierte Angreifer unbefugt auf Funktionen zugreifen, was offenbar mit einer KCDAccount-Konfiguration zusammenhängt, die auf Kerberos SSO zum Zugriff auf Backend-Ressourcen setzt (CVE-2024-8535, CVSS 5.8, mittel).
Weitere Citrix-Schwachstellen
Zudem meldet Citrix Sicherheitslücken im Session Recording von Citrix Virtual Apps and Desktops. Angreifer können ihre Rechte zum NetworkService-Account ausweiten (CVE-2024-8068, CVSS 5.1, mittel) oder begrenzt Schadcode aus dem Netz mit diesen Rechten ausführen (CVE-2024-8069, CVSS 5.1, mittel). Die aktualisierten Software-Versionen sind in der Citrix-Meldung verlinkt.
Die Schwachstellen bessern die Versionen Netscaler ADC und Netscaler Gateway 14.1-29.72 und 13.1-55.34 sowie Netscaler ADC FIPS 13.1-37.207, 12.1-55.321 und 12.1-55.321 aus. Netscaler ADC und Netscaler Gateway 12.1 und 13.0 sind ebenfalls verwundbar, aber an ihrem End-of-Lifecycle angelangt und erhalten daher kein Update – Betroffene sollen ihre Appliances auf eine unterstützte Version aktualisieren. Die Cloud-Dienste von Citrix hat der Hersteller bereits gepatcht, hier müssen IT-Verantwortliche nicht weiter aktiv werden.
Die Citrix Virtual Apps and Desktops sind ab den Versionen 2407 Hotfix 24.5.200.8, 2402 LTSR CU1 Hotfix 24.02.1200.16, 2203 LTSR CU5 Hotfix 22.03.5100.11 und 1912 LTSR CU9 Hotfix 19.12.9100.6 abgesichert.
Cyberkriminelle haben Citrix-Software als eines der Standard-Angriffsziele im Portfolio. Ende 2023 hatten Angreifer eine unter dem Namen "CitrixBleed" bekannt gewordene Schwachstelle beim US-Provider Xfinity missbraucht und konnten dadurch Daten von rund 36 Millionen Kundinnen und Kunden abgreifen. Die verfügbaren Updates sollten Admins daher zügig anwenden.
Im September hat Citrix in der Workspace App für Windows Sicherheitslücken schließen müssen. Die hatten es Angreifern ermöglicht, ihre Rechte im System auszuweiten.
(dmk)