[English]In Citrix ADC und Citrix Gateway gibt es zwei Schwachstellen CVE-2022-27507 und CVE-2022-27508, zu denen der Hersteller eine Sicherheitswarnung (Security Bulletin) herausgegeben hat. Die in Citrix ADC und Citrix Gateway entdeckten Schwachstellen ermöglichen Angreifern einen Distributed Denial-of-Service-Angriff (DDoS). Der Hersteller hat Updates zum Beseitigen dieser Schwachstellen veröffentlicht. Die US-Behörde CISA fordert zum umgehenden Patchen der als medium und high eingestuften Sicherheitslücken auf.
Anzeige
Ich bin bereits die Nacht über nachfolgenden Tweet von Thorsten E. auf diese Schwachstellen aufmerksam geworden. Citrix hat zum 25. Mai 2022 das Security Bulletin CTX457048 zum Sachverhalt veröffentlicht.
CVE-2022-27507: mittlere Schwere
Bei der mit mittlerer Schwere eingestuften Schwachstelle CVE-2022-27507 ermöglicht ein "Authenticated denial of service" einen unkontrollierten Ressourcenverbrauch, so dass die Produkte in die Knie gehen. Dabei muss auf dem VPN (Gateway) ein virtueller Server mit DTLS aktiviert, und entweder 'HDX Insight für EDT-Verkehr' oder 'SmartControl' konfiguriert, sein. Die Schwachstelle betrifft Citrix ADC und Citrix Gateway mit folgenden Firmware-Versionen:
- Citrix ADC und Citrix Gateway 13.1 vor 13.1-21.50
- Citrix ADC und Citrix Gateway 13.0 vor 13.0-85.19
- Citrix ADC und Citrix Gateway 12.1 vor 12.1-64.17
- Citrix ADC 12.1-FIPS vor 12.1-55.278
- Citrix ADC 12.1-NDcPP vor 12.1-55.278
Kunden können mit folgendem CLI-Befehl feststellen, ob DTLS aktiviert ist:
Anzeige
show vpn vserver
Es sollte dann der Status On oder Off gemeldet werden. Kunden können prüfen, ob "HDX Insight für EDT-Verkehr" oder "SmartControl" konfiguriert wurde, indem sie in der Datei ns.conf nach einer VPN vserver policy binding mit einem ICA_REQUEST-Typ suchen:
bind vpn vserver -policy -priority 100 -type ICA_REQUEST
Ist der obige Eintrag vorhanden, ist das Produkt so konfiguriert, dass es anfällig für die Schwachstelle ist. Dann sollte ein entsprechendes Update installiert werden.
CVE-2022-27508: Hohe Gefährdung
Diese Schwachstelle wird mit einer hohen Gefährdungsstufe kategorisiert und ermöglicht ebenfalls ein "Authenticated denial of service", da ein Angreifer einen unkontrollierten Ressourcenverbrauch erzwingen kann. Die Appliance muss aber als virtueller VPN- (Gateway) oder AAA-Server konfiguriert sein. Der Citrix ADC und das Citrix Gateway 12.1-64.16 sind von dieser Schwachstelle betroffen.
Alle anderen unterstützten Versionen von Citrix ADC und Citrix Gateway, einschließlich FIPS- und NDcPP-Versionen, sind von diesem Problem nicht betroffen.
Updates installieren oder Features abschalten
Citrix empfiehlt den betroffenen Kunden, die entsprechenden aktualisierten Versionen von Citrix ADC oder Citrix Gateway so bald wie möglich zu installieren.
- Citrix ADC und Citrix Gateway 13.1-21.50 und spätere Versionen
- Citrix ADC und Citrix Gateway 13.0-85.19 und spätere Versionen von 13.0
- Citrix ADC und Citrix Gateway 12.1-64.17 und neuere Versionen von 12.1
- Citrix ADC 12.1-FIPS 12.1-55.278 und neuere Versionen von 12.1-FIPS
- Citrix ADC 12.1-NDcPP 12.1-55.278 und spätere Versionen von 12.1-NDcPP
Kunden, die nur von CVE-2022-27507 betroffen sind, DTLS aktiviert haben und "HDX Insight für EDT-Verkehr" oder "SmartControl" konfiguriert haben, können alternativ "HDX Insight für EDT-Verkehr" deaktivieren, um das Problem ohne Upgrade zu beheben. Details hat Citrix im Security Bulletin CTX457048 veröffentlicht
Anzeige
bin mal gespannt ob sich irgendwann wer erbarmt und citrix aufkauft. aber ich glaub eher nicht so dran.