Citrix ADC (vormals Netscaler): Sicherheitslücke erlaubt denial-of-service, Patch verfügbar

Betroffene Produkte

Citrix Application Delivery Controller (ADC, vormals Netscaler) & Gateway
– Version 13 mit Patch niedriger als 13.0-83.27 
– Version 12 mit Patch niedriger als 12.1-63.22 
– Version 11 mit Patch niedriger als 11.1-65.23 
– Citrix ADC 12.1-FIPS mit Patch niedriger als 12.1-55.257 

SD-WAN WANOP

Angriffsvektor

Risikostufe 1 – Von extern ausnutzbarX
Risikostufe 2 – Aus Firmennetz ausnutzbarx
Risikostufe 3 – Auf lokaler Maschine ausnutzbarx

Art des Angriffs

Denial-of-Service: Angreifer können unauthentifiziert das System überlasten und einen Ausfall verursachen.

Unkontrollierter Ressourcenkonsum: Angreifer können die Management GUI, Nitro API und RPC Kommunikation stören.

Handlungsempfehlung

Wir empfehlen, die verfügbaren Patches zu installieren, um die Denial-of-Service-Lücke zu schließen. Es sollte außerdem die Konfiguration überprüft und bei Bedarf angepasst werden, da die Lücke CVE-2021-22956 (Unkontrollierter Ressourcenkonsum, Unterbrechung der Management GUI) abhängig von der Konfiguration nicht automatisch durch das aktuelle Update geschlossen wird.

Weitere Informationen

https://www.heise.de/news/Angreifer-koennten-Load-Balancer-ADC-von-Citrix-ausser-Gefecht-setzen-6263306.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag (heise news)

https://support.citrix.com/article/CTX330728 (Citrix-Beitrag)

https://support.citrix.com/article/CTX331588 (Citrix-Konfigurationsrichtlinie für Delivery Controller, Gateway und SD-WAN WANOP)