[English]Ich würde vermuten, dass bei Citrix-Nutzern mal wieder die „Hütte am brennen ist“, denn zur kürzlich bekannt gewordenen Schwachstelle CVE-2023-4966 liegen nun weitere Informationen vor. Unter dem Begriff „Citrix Bleed“ haben Sicherheitsforscher beschrieben, wie Citrix NetScaler ADC und Gateway Sitzungs-Tokens an Angreifer verraten und ein Proof of Concept (PoC) vorgelegt. Citrix hatte Anfang Oktober 2023 Hinweise zur Schwachstelle veröffentlicht.
Citrix warnt vor Schwachstelle CVE-2023-4966
Citrix hat zum 10. Oktober 2023 die Sicherheitswarnung CTX579459 (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967) herausgegeben. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitslücken entdeckt. NetScaler ADC und NetScaler Gateway enthalten die folgenden, nicht authentifizierten Puffer-Schwachstellen:
- CVE-2023-4966: Sensitive information disclosure-Schwachstelle; CVSS Index 9,4;
- CVE-2023-4967: Denial of service-Schwachstelle; CVSS Index 8,2;
Betroffen sind nur vom Kunden verwaltete NetScaler ADC- und NetScaler Gateway-Produkte. Betroffene Kunden wurden aufgefordert, entsprechenden aktualisierten Versionen von NetScaler ADC und NetScaler Gateway so bald wie möglich zu installieren. Ich hatte die Details im Blog-Beitrag Citrix NetScaler ADC und Gateway: Schwachstellen (CVE-2023-4966 und CVE-2023-4967) beschrieben.
Citrix NetScaler ist ein Netzwerkgerät, das Load Balancing-, Firewall- und VPN-Dienste bereitstellt. NetScaler Gateway bezieht sich in der Regel auf die VPN- und Authentifizierungskomponenten, während ADC sich auf die Lastausgleichs- und Verkehrsmanagementfunktionen bezieht. Die Produkte sind immer wieder für Probleme und Schwachstellen gut.
Dringende Warnung vor Ausnutzung
Die Tage las ich bei den Kollegen von Bleeping Computer, dass Citrix Administratoren aufforderte, dringend die NetScaler-Schwachstelle CVE-2023-4966 zu patchen. Mandiant hatte eine laufende Ausnutzung dieser Schwachstelle entdeckt. Mandiant gab an, dass Bedrohungsakteure seit Ende August 2023 die 0-Day Schwachstelle CVE-2023-4966 ausnutzen, um Authentifizierungssitzungen zu stehlen und Konten zu kapern, wodurch die Angreifer die Multifaktor-Authentifizierung oder andere starke Authentifizierungsanforderungen umgehen können.
Citrix Bleed: PoC zu CVE-2023-4966
Nun haben Sicherheitsforscher von Assenote unter dem Titel „Citrix Bleed“ ihre Analyse der Schwachstelle CVE-2023-4966 auf Basis einer Reverse-Analyse des Patches vorgelegt. Nachfolgender Post auf BlueSky weist auf den Artikel Citrix Bleed: Leaking Session Tokens with CVE-2023-4966 mit den Details hin.
Die Sicherheitsforscher interessierten sich etwas genauer für die Schwachstelle CVE-2023-4966, die als „Offenlegung sensibler Informationen“ beschrieben wurde und mit einem CVSS-Wert von 9,4 versehen wurde. Die hohe Einstufung des CVSS-Werts für eine Sicherheitslücke die nur eine Offenlegung von Informationen thematisierte und die Erwähnung von „pufferbezogenen Sicherheitslücken“ weckten das Interesse der Sicherheitsforscher.
Deren Ziel war es, die Schwachstelle zu verstehen und eine Prüfung für unsere Attack Surface Management-Plattform zu entwickeln. Dieses Vorhaben ist den Sicherheitsforschern gelungen und die konnten ein Proof of Concept (PoC) vorlegen, was im Detail im Beitrag beschrieben ist.
Die Hütte müsste nicht brennen, wenn man die Sicherheitsupdates vom 10.10 schon eingespielt hätte (das ist schon 16 Tage her!), die CVE-2023-4966 ist damit nämlich eigentlich schon geschlossen. Das Ding scheint außerordentlich kritisch zu sein, immerhin hat Citrix jetzt nun schon zum dritten Mal aufgefordert, die Hütte endlich zu patchen. Ich kann soweit bestätigen, dass die Zahl der Portscans und auch Bruteforce-Attacken mit gängigen Usernamen und Passwortlisten auf unser Portal Mitte Oktober signifikant zugenommen hat, aber mit so generischen Usernamen (lassen sich aus dem Syslog extrahieren) und ohne zweiten Faktor kommt man zumindestens bei Bruteforce nicht weit, aber die Hütte ist Dank des Updates schon hoffentlich zu, und zwischenzeitlich ein paar Schurkenstaaten per Geoblocking auf der vorgeschalteten Firewall komplett aus der Schusslinie entfernt.
12.10.2023 https://www.borncity.com/blog/2023/10/12/citrix-netscaler-adc-und-gateway-schwachstellen-cve-2023-4966-und-cve-2023-4967/
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
Citrix hat den Artikel am 10.10 erstellt und am 23.10 aktualisiert.
Hab das Update am Tag der Veröffentlichung installiert, allerdings hat mich dann n paar Tage später das BSI mit seiner Meldung ein wenig beunruhigt…
—-
Aufgrund der Tatsache, dass bereits seit Ende August eine Ausnutzung der Schwachstelle (CVE-2023-4966) beobachtet
wurde [MAND23a], besteht ein hohes Risiko einer bereits stattgefundenen Kompromittierung.
—-
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-275276-1032.pdf?__blob=publicationFile&v=2
Ich hoffe das ihr nicht nur den Patch installiert habt, sondern auch die Session Token alle beendet /gelöscht habt,