Jetzt patchen! Tausende Citrix-Server sind noch verwundbar
Angreifer nutzen derzeit kritische LĂĽcken in Citrix ADC und Gateway aus. Trotz verfĂĽgbarer Sicherheitspatches sind viele Instanzen noch nicht gepatcht.
(Bild: Tatiana Popova/Shutterstock.com)
Sicherheitsforscher von Fox IT haben das Internet gescannt und sind weltweit auf zahlreiche verwundbare Citrix-Server gestoĂźen. Angreifer nutzen bereits "kritische" SicherheitslĂĽcken aus, um sich weitreichenden Zugriff zu verschaffen. Sicherheitspatches sind schon seit November 2022 verfĂĽgbar.
Wie aus einem Bericht hervorgeht, haben die Forscher Parameter der HTTP-Antwort analysiert und konnten eigenen Angaben zufolge daraus auf die installierte Version schlieĂźen. Die gute Nachricht: Der GroĂźteil hat schon die ADC-/Gateway-Version 13.0-88.14 installiert, in der beide Schwachstellen (CVE-2022-27510, CVE-2022-27518) geschlossen sind.
Jetzt patchen!
Auf rund 3500 Systemen kommt aber noch die Ausgabe 12.1-65.21 zum Einsatz. Darin wurde die Lücke mit der Kennung CVE-2022-27518 noch nicht geschlossen und Angreifer können Schadcode auf Instanzen schieben und ausführen. Das Problem ist, dass genau das seit Dezember 2022 geschieht. Systeme sind aber nur mit SAML SP oder IdP-Konfigurationen angreifbar.
Ob diese Einstellungen aktiv sind, können Admins prüfen, indem sie die ns.conf-Datei auf die Einträge add authentication samlAction (SAML SP) oder add authentication samlIdPProfile (SAML IdP) untersuchen. Tauchen die Einträge auf, könnten Angreifer an der Lücke ansetzen.
Rund 1000 Systeme sind noch ĂĽber CVE-2022-27510 angreifbar und 3000 Instanzen sind ĂĽber beide Schwachstellen attackierbar. Bei 3500 Servern konnten die Forscher die installierte Version nicht herausfinden und die Systeme sind potenziell angreifbar.
Attacken auch in Deutschland möglich
Die Forscher geben an, die verwundbaren Citrix-Server unter anderem in den USA, Frankreich und Deutschland entdeckt zu haben.
(des)
