[English]Administratoren eines Citrix NetScaler ADC oder eines Citrix NetScaler Gateway sollten aktiv werden. Hersteller Citrix hat zum 16. Januar 2024 ein Security Advisory bezüglich der beiden Schwachstellen CVE-2023-6548 und CVE-2023-6549 in den oben genannten Produkten veröffentlicht. Eine Schwachstelle ermöglicht DDoS-Angriffe, während die zweite Schwachstelle eine authentifizierte (niedrig privilegierte) Remotecodeausführung auf der Verwaltungsschnittstelle ermöglicht.
Anzeige
Ich bin über nachfolgenden Tweet von Thorsten E. auf den Sachverhalt aufmerksam geworden. Citrix hat zu den Schwachstellen CVE-2023-6548 und CVE-2023-6549 im NetScaler ADC und im NetScaler Gateway diesen Sicherheitshinweis mit Details veröffentlicht.
Bezüglich der Schwachstellen gibt Citrix nachfolgende Erklärungen über deren Eigenschaften ab:
- CVE-2023-6548: Authentifizierte (niedrig privilegierte) Remotecodeausführung auf der Verwaltungsschnittstelle; ZZugang zu NSIP, CLIP oder SNIP mit Zugang zur Verwaltungsschnittstelle, CVSS 5.5.
- CVE-2023-6549: Denial of Service; die oAppliance muss als Gateway (virtueller VPN-Server, ICA-Proxy, CVPN, RDP-Proxy) oder virtueller AAA-Server konfiguriert sein, CVSS 8.2.
Die folgenden unterstützten Versionen von NetScaler ADC und NetScaler Gateway sind von den Sicherheitslücken betroffen:
Anzeige
- NetScaler ADC und NetScaler Gateway 14.1 vor 14.1-12.35
- NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-51.15
- NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-92.21
- NetScaler ADC 13.1-FIPS vor 13.1-37.176
- NetScaler ADC 12.1-FIPS vor 12.1-55.302
- NetScaler ADC 12.1-NDcPP vor 12.1-55.302
Der NetScaler ADC und das NetScaler Gateway Version 12.1 sind jetzt End Of Life (EOL) und anfällig. Dieses Bulletin gilt nur für vom Kunden verwaltete NetScaler ADC- und NetScaler Gateway-Produkte. Kunden, die von Citrix verwaltete Cloud-Dienste oder von Citrix verwaltete Adaptive Authentication verwenden, müssen keine Maßnahmen ergreifen. Im Citrix-Beitrag sind die Versionen der Software genannt, in denen die Schwachstellen beseitigt wurden.
- NetScaler ADC und NetScaler Gateway 14.1-12.35 und spätere Versionen
- NetScaler ADC und NetScaler Gateway 13.1-51.15 und spätere Versionen von 13.1
- NetScaler ADC und NetScaler Gateway 13.0-92.21 und spätere Versionen von 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.176 und spätere Versionen von 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.302 und neuere Versionen von 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.302 und neuere Versionen von 12.1-NDcPP
Kunden mit einem NetScaler ADC und das NetScaler Gateway in der Version 12.1 müssen auf eine Nachfolgeversion upgraden, um weiter vor dem Schwachstellen geschützt zu sein.
Anzeige
Klappt bei jemand der Download über die Hersteller Website?
Citrix.com sehr träge, falls der Login dann doch Lust hat kommt nach der Anmeldung "Oops, the page you're trying to view isn't here" und komme nicht bis zum Download Bereich durch…
Nope.. Error 404
Die sind aktuell recht zäh – ich brauchte hier auch ca. 30 Sekunden, bis die Seite geladen wurde.
versuche seit 2 Stunden an download ranzukommen, keine chance
Ich versuche seit 13:15 Uhr die Patches für Netscaler runterzuladen. Bis jetzt 404 oder 503 Fehler.
Die Betreiber solcher Gateways haben in den letzten Monaten teilweise schmerzhaft gelernt, wie wichtig die CitrixADC Updates sind, und jetzt werden die Downloadserver von Citrix überrannt. Da hat Citrix was noch nicht gelernt, die brauchen leistungsfähigere Downloadserver.
Kunden? Könnten auch Potentielle Angreifer der Geräte sein, die das Downloaden der Fixes verhindern wollen. Bei Citrix funktioniert halt so vieles nicht wirklich optimal. Und man meidet deren Produkte einfach so gut man kann.
Nein, da hat 1ST1 schon recht. War beim letzten Mal genau so. Die Download-Server werden von Kunden überrannt. Nach ca. 20 Stunden geht es dann normalerweise wieder problemlos…
Nach mehreren Versuchen hat es dann geklappt. Update ist erfolgreich durchgelaufen.
Nicht nur der Netscaler ist betroffen, auch zu anderen Produkten hat Citrix heute Warnmeldungen herausgegeben:
Citrix Virtual Apps and Desktops (CVE-2023-6184)
https://support.citrix.com/article/CTX583930/citrix-session-recording-security-bulletin-for-cve20236184
Citrix Storefront (CVE-2023-5914)
https://support.citrix.com/article/CTX583759/citrix-storefront-security-bulletin-for-cve20235914
Viel Spaß beim Patchen :-)
Ja ich habe auch über 30 Minuten gebraucht um zur Download Seite zu kommen. Schlussendlich hat es aber geklappt. Jeden Link immer in einem neuen Fenster öffnen. War bei mir der beste Weg.