Af Eskil Sørensen, 14/01/20
DKCERT er blevet bekendt med en sårbarhed i Citrix ADC (tidligere Netscaler ADC) samt Citrix Gateway (tidligere Netscaler Gateway).
Sårbarheden påvirker ifølge Citrix følgende produktversioner og platforme:
• Citrix ADC and Citrix Gateway version 13.0 all supported builds
• Citrix ADC and NetScaler Gateway version 12.1 all supported builds
• Citrix ADC and NetScaler Gateway version 12.0 all supported builds
• Citrix ADC and NetScaler Gateway version 11.1 all supported builds
• Citrix NetScaler ADC and NetScaler Gateway version 10.5 all supported
builds
Citrix har selv i en supportartikel den 17. december gjort opmærksom på sårbarheden, men har endnu ikke udsendt en patch, som først ventes senere på måneden. Citrix opfordrer i stedet kunderne til at iværksætte en workaround for at imødegå forsøg på at udnytte sårbarheden. Hjemmesiden Networkforensic.dk anbefaler ligefrem, at man tager Citrix ADC off-line indtil mitigering eller opdateringen foreligger fra Citrix.
Mange Citrix enheder tilgængelige
Ifølge søgemaskinen Shodan er der over 125.000 Citrix ADC og Citrix Gateway enheder offentligt tilgængelig. Citrix ADC og Citrix Gateway er ofte vendt ud mod internettet og vil derfor være de første til at blive angrebet. Sårbarheden kan udnyttes af en udefrakommende til at eksekvere kode på systemet, som derved kan få adgang til bruger- eller administratorlogins og evt. også organisationens interne netværk.
Anbefaling:
Iværksæt mitigering for at undgå at sårbarheden bliver udnyttet. Vejledning til mitigering findes hos Citrix https://support.citrix.com/article/CTX267679
Links:
https://support.citrix.com/article/CTX267027
https://www.ptsecurity.com/ww-en/about/news/citrix-vulnerability-allows-criminals-to-hack-networks-of-80000-companies/