Betroffene Produkte
Citrix Application Delivery Controller (ADC, vormals Netscaler) & Gateway
– Version 13 mit Patch niedriger als 13.0-83.27
– Version 12 mit Patch niedriger als 12.1-63.22
– Version 11 mit Patch niedriger als 11.1-65.23
– Citrix ADC 12.1-FIPS mit Patch niedriger als 12.1-55.257
SD-WAN WANOP
Angriffsvektor
Risikostufe 1 – Von extern ausnutzbar | X |
Risikostufe 2 – Aus Firmennetz ausnutzbar | x |
Risikostufe 3 – Auf lokaler Maschine ausnutzbar | x |
Art des Angriffs
Denial-of-Service: Angreifer können unauthentifiziert das System überlasten und einen Ausfall verursachen.
Unkontrollierter Ressourcenkonsum: Angreifer können die Management GUI, Nitro API und RPC Kommunikation stören.
Handlungsempfehlung
Wir empfehlen, die verfügbaren Patches zu installieren, um die Denial-of-Service-Lücke zu schließen. Es sollte außerdem die Konfiguration überprüft und bei Bedarf angepasst werden, da die Lücke CVE-2021-22956 (Unkontrollierter Ressourcenkonsum, Unterbrechung der Management GUI) abhängig von der Konfiguration nicht automatisch durch das aktuelle Update geschlossen wird.
Weitere Informationen
https://support.citrix.com/article/CTX330728 (Citrix-Beitrag)
https://support.citrix.com/article/CTX331588 (Citrix-Konfigurationsrichtlinie für Delivery Controller, Gateway und SD-WAN WANOP)