Update: Schwachstelle in Citrix NetScaler ADC und NetScaler Gateway ausgenutzt

Die Warnmeldung wurde am 16. November 2023 aufgrund weiterführender Informationen aktualisiert. 

Citrix warnt vor den Schwachstellen CVE-2023-4966 und CVE-2023-4967 in seinen Produkten NetScaler ADC und NetScaler Gateway, früher als Citrix ADC und Citrix Gateway benannt.

CVE-2023-4966 ist als kritisch eingestuft und erlaubt Angreifenden sensible Informationen einzusehen. Hierdurch können sie im Rahmen von Session Hijacking authentifizierte Sessions übernehmen und Multifaktor-Authentifikation (MFA) oder andere Authentifizierungsmittel umgehen.

NetScaler ADC und NetScaler Gateway werden seit Ende August über CVE-2023-4966 infiltriert, schildert Mandiant in einem Blog-Beitrag. Hierbei sammeln Angreifende weitere Zugangsdaten, verschaffen sich vermutlich damit höhere Rechte und breiten sich so im System sowie im Netzwerk aus.

Mandiant stellte derartige Ausnutzungen der Schwachstelle bei Dienstleistern, Technologie-Unternehmen und Regierungsorganisationen fest.

Laut Bleeping Computer sind durch CVE-2023-4966 weltweit über 10.400 Server potenziell betroffen, allein 1.228 davon in Deutschland. Auf einige dieser Server erfolgten schon Angriffe mit LockBit Ransomware über CVE-2023-4966. Die Systeme wurden verschlüsselt und Lösegeld erpresst. 

Application Delivery Controller (ADC) bieten wegen ihrer Erreichbarkeit aus dem Internet und ihrer umfangreichen Funktionen viele Einfallstore für Angreifende. Wenn ADCs kompromittiert sind, ermöglichen sie weitreichenden Netzwerkzugriff. Infiltrierer können Session-Informationen der genannten Citrix-Produkte entwenden und damit Authentifizierungen umgehen. Hierdurch können die Hacker an Zugangsdaten gelangen und sich auf weitere Systeme ausbreiten.

Aufgrund der festgestellten Ausnutzung von CVE-2023-4966 seit Ende August und des leichten Zugriffs darüber auf relevante Informationen stuft das BSI das Risiko einer bereits erfolgten oder drohenden Kompromittierung als hoch ein.

Bleeping Computer ergänzt, dass das Schadenspotenzial durch Angriffe mittels LockBit Ransomware enorm ist. Außerdem ist aufgrund der weltweit erfolgten Attacken auch von LockBit-Angriffen über CVE-2023-4966 in Deutschland auszugehen.

Die Sicherheitslücken betreffen NetScaler-ADC-Systeme und NetScaler-Gateway-Systeme, die als AAA Virtual Server oder als Gateway wie VPN Virtual Server, ICA Proxy, CVPN oder RDP Proxy konfiguriert sind.

Die betroffenen Systeme haben folgende Patch-Stände:

• NetScaler ADC und NetScaler Gateway 14.1 vor 14.1-8.50
• NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-49.15
• NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-92.19
• NetScaler ADC 13.1-FIPS vor 13.1-37.164
• NetScaler ADC 12.1-FIPS vor 12.1-55.300
• NetScaler ADC 12.1-NDcPP vor 12.1-55.300

Die Versionen 12.1 von NetScaler ADC und NetScaler Gateway haben ihr End-of-Life (EOL) erreicht und erhalten keine Patches mehr. Daher raten Citrix und das BSI dringend zu einem Update der Versionen.

Citrix rät dringend, die nachfolgenden Updates von NetScaler ADC und NetScaler Gateway zu installieren:

• NetScaler ADC und NetScaler Gateway 14.1-8.50 oder höher
• NetScaler ADC und NetScaler Gateway 13.1-49.15 oder höhere Versionen von 13.1
• NetScaler ADC und NetScaler Gateway 13.0-92.19 oder höhere Versionen von 13.0
• NetScaler ADC 13.1-FIPS 13.1-37.164 oder höhere Versionen von 13.1-FIPS
• NetScaler ADC 12.1-FIPS 12.1-55.300 oder höhere Versionen von 12.1-FIPS
• NetScaler ADC 12.1-NDcPP 12.1-55.300 oder höhere Versionen von 12.1-NDcPP

Wenn die Updates nicht installiert oder nur verzögert installiert werden können, soll auf NetScaler-Instanzen nur über vertrauenswürdige Netze zugegriffen werden.

Selbst nach einem eingespielten Update können authentifizierte Sessions weiterhin gültig sein, die von Angreifenden genutzt werden. Daher müssen nach der Update-Installation alle aktiven und persistenten Sessions auf den Instanzen beendet werden.

In der BSI-Warnmeldung, dem Citrix Advisory und der Guideline von Mandiant finden sich weitere Mitigationsempfehlungen.

Das BSI empfiehlt zudem die Absicherung von ADCs anhand seiner Richtlinie zum sicheren Einsatz dieser Systeme.