Jetzt patchen! Attacken auf Citrix NetScaler ADC und Gateway beobachtet
Derzeit kapern Angreifer Sessions und greifen auf Accounts zu. Citrix NetScaler ADC und Gateway sind aber nur mit bestimmten Konfigurationen gefährdet.
(Bild: Balefire / Shutterstock.com)
Netzwerk-Admins sollten Citrix NetScaler ADC und Gateway zügig auf den aktuellen Stand bringen. Das Softwareunternehmen Citrix warnt derzeit vor Attacken. Sicherheitspatches sind verfügbar.
Die Gefahr
Die unbekannten Angreifer setzen an einer als "kritisch" eingestuften Sicherheitslücke (CVE-2023-4966) an, die seit Anfang Oktober bekannt ist. Nun warnt Citrix in einem Beitrag vor laufenden Attacken. Sicherheitsforschern von Mandiant zufolge soll die Schwachstelle bereits seit August 2023 im Fokus von Angreifern sein.
Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Nach einer erfolgreichen Attacke sollen Angreifer auf Authentication-Sessions zugreifen können und damit ausgestattet Multi-Faktor-Authentifizierungen umgehen und auf Accounts zugreifen können. Je nach Nutzerrechten der gekaperten Accounts sind weitreichende Zugriffe vorstellbar.
Die Sicherheitsforscher von Mandiant warnen, dass kompromittierte Sessions nach dem Patchen bestehen bleiben. Bislang hat es ihnen zufolge Attacken auf staatliche Stellen und Technologiekonzerne gegeben.
Die Voraussetzungen
Citrix gibt an, dass Systeme nur verwundbar sind, wenn NetScaler ADC als Gateway (VPN virtual server, ICA proxy, CVPN, RDP proxy) oder als AAA Virtual Server konfiguriert ist. Ist das der Fall, sollten Admins die Sicherheitsupdates umgehend installieren.
Zusätzlich sollten Admins bestehende Sessions mit den folgenden Befehlen terminieren:
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
(des)
