Citrix repareert elf nieuwe kwetsbaarheden in ADC en Gateway

Citrix heeft 11 kwetsbaarheden in de Application Delivery Controller, de Gateway, en de SD-WAN gerepareerd. Het gaat onder andere om een privilege escalation en een xss-lek, maar ook om de mogelijkheid voor een code execution. De lekken hebben niets te maken met het lek eerder dit jaar.

Citrix heeft 11 patches uitgebracht voor de verschillende kwetsbaarheden. Volgens het bedrijf zijn er geen voorbeelden bekend waarbij de kwetsbaarheden actief worden misbruikt. Bovendien zegt Citrix dat er voor vijf van de kwetsbaarheden barrières zijn om een aanval in de praktijk uit te voeren. Die zijn bijvoorbeeld alleen mogelijk met ongeautoriseerd verkeer op een bedrijfsnetwerk.

Bovendien moeten de verschillende kwetsbaarheden ook in combinatie met elkaar worden gebruikt. Zo is er in de meeste gevallen eerst een privilege escalation nodig om andere kwetsbaarheden uit te buiten. Drie van de gepatchte kwetsbaarheden zijn dergelijke privilege escalations.

Andere kwetsbaarheden zijn cross-site scriptings en denial-of-service-aanvallen. Met andere kwetsbaarheden kan bepaalde informatie worden gelekt. Ook is er een lek, CVE-2020-8194, waarmee een code execution kan worden uitgevoerd. Dat geldt echter alleen als de aanvaller al toegang heeft tot de NISP.

De lekken zitten in de Citrix Application Delivery Controller of ADC, de Citrix Gateway, en in Citrix SD-WAN-hardware met versienummers 4000-WO, 4100-WO, 5000-WO, en 5100-WO. Volgens Citrix staan de nieuwe lekken los van de kwetsbaarheden die eind vorig jaar werden ontdekt. Die veroorzaakten veel problemen, omdat bedrijven en overheden de lekken pas laat repareerden. Eerder dit jaar ontdekte een beveiligingsbedrijf dat hackers door dat lek bij zeker 25 Nederlandse bedrijven een backdoor hebben geplaatst.

Reacties (12)

The Reeferman 7 juli 2020 17:24

Dus dit heeft ook geen verband met de recente inbraken op Citrix netwerken die al de laatste updates hadden? Is er al opgehelderd hoe dat mogelijk was?

Motion2 @The Reeferman • 7 juli 2020 17:40

De mitigatie was te laat doorgevoerd, hierdoor hadden de exploits de kans om in te breken en een backdoor te installeren. Sommige exploits voerde zelfs de mitigatie daarna door waardoor beheerders misschien dachten dat ze niet vatbaar waren
In andere gevallen hebben de beheerders wel de voordeur dicht gezet maar niet gecontroleerd of de achterdeur nog open stond.
Zie ook: https://blog.fox-it.com/2...781-citrix-netscaler-adc/

However, of perhaps more concern was that, of these compromised devices, 54% had been patched against CVE-2019-19781, thus providing their administrators with a false sense of security. This is because although the devices were indeed patched, any backdoor installed by an attacker prior to this would not have been removed by simply installing the vendor’s patch.

Deze nieuwe security issues staan hier los van.

[Reactie gewijzigd door Motion2 op 24 juli 2024 09:42]

DrClaw 7 juli 2020 17:25

Dus F5 is niet de enige ADC die onder vuurt ligt. Mooi dat het zo snel gefixt wordt.

Epiphany 7 juli 2020 18:55

Dat geldt echter alleen als de aanvaller al toegang heeft tot de NISP

<- moet zijn NSIP, het IP adres wat van een NetScaler is, of het device toebehoort. Als het goed ingericht is staat dit IP in het management LAN en is je attack vector een stuk kleiner.

Epiphany @janbaarda • 7 juli 2020 18:58

Het is software. En door wie wordt software gemaakt? Mensen. Mensen maken fouten. Zeker in producten zoals een Citrix ADC/NetScaler wat een Zwitsers zakmes in het netwerk is, worden fouten gemaakt. Door mensen.. en maakt het niet uit uit welk land die mensen komen

janbaarda @Epiphany • 8 juli 2020 11:25

Het gaat hier om "backdoors", die worden in het algemeen niet per ongeluk opengezet. Een backdoor is speciaal in deze kantoorproducten een "nuttig" instrument voor meekijken.

Epiphany @janbaarda • 8 juli 2020 12:05

Niemand heeft het over backdoors. Jij impliceert dat met jouw opmerking.
Artikel gaat over kwetsbaarheden in software, dat ia niet persee een backdoor en als dat het geval zou zijn zou die op manier manifesteren

jesse! @janbaarda • 7 juli 2020 17:41

Wat?

Staat toch niet dat het USA hackers waren? Of dat het overheden waren? Of dat het überhaupt voor spionage was?

janbaarda @jesse! • 8 juli 2020 04:33

Raad eens wat jouw reactie was geweest als het een Huawei of ZTE product was.

jesse! @janbaarda • 8 juli 2020 10:32

Precies hetzelfde.
Dat het een product van iemand anders zou zijn, zou niets uitmaken aan dat jij zonder bron "random" dingen loopt op te gooien?
Ik denk niet persé dat een bedrijf uit China meer of minder aan spionage zal doen dan de VS. Het gebeurd nou eenmaal, groot of klein bedrijf. Westers of Oosters.

janbaarda @jesse! • 8 juli 2020 11:31

Ben het in principe wel met je eens. Helaas is je politieke neutraliteit een uitzondering in dit technisch forum.

Citrix servers, etc. zijn natuurlijk wel een aantrekkelijke producten voor het bepaalde "intelligence agencies".

Op dit item kan niet meer gereageerd worden.

Citrix repareert elf nieuwe kwetsbaarheden in ADC en Gateway

Lees meer

Reacties (12)

Sorteer op:

Weergave: