[Warning] Sicherheitslücken, teils kritisch, in Citrix/Netscaler ADC und Gateway -aktiv ausgenützt - Updates verfügbar

Michael Schlagenhaufer schlagenhaufer at cert.at
Tue Jul 18 17:08:38 CEST 2023 

    18. Juli 2023

Beschreibung

    Eine kritische Schwachstelle in Citrix/Netscaler ADC und Citrix Gateway
    erlaubt es unauthentisierten Angreifenden, beliebigen Code auszuführen.
    Diese Schwachstelle wird auch bereits aktiv ausgenützt.

    Weitere mit diesen Updates geschlossene Sicherheitslücken betreffen
    Reflected Cross Site Scripting (XSS) sowie Privilege Escalation.

    CVE-Nummer(n): CVE-2023-3519 (sowie CVE-2023-3466, CVE-2023-3467)

    CVSS Base Score: 9.8

Auswirkungen

    Falls die Appliance als Gateway (VPN virtual server, ICA Proxy, CVPN,
    RDP Proxy) oder
    AAA Virtual Server konfiguriert ist, können Angreifende beliebigen Code
    ausführen. Dadurch sind alle durch das Gerät erreichbaren Services und
    Daten gefährdet.

Betroffene Systeme

      * NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-49.13
      * NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-91.13
      * NetScaler ADC 13.1-FIPS vor 13.1-37.159
      * NetScaler ADC 12.1-FIPS vor 12.1-65.36
      * NetScaler ADC 12.1-NDcPP vor 12.65.36

    Citrix weist speziell darauf hin, dass Appliances mit NetScaler ADC and
    NetScaler Gateway Version 12.1 als End Of Life (EOL) angesehen werden,
    und keine Updates mehr für diese zur Verfügung gestellt werden.

Abhilfe

    Installation der zur Verfügung gestellten Updates.

Hinweis

    Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
    dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
    Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
      __________________________________________________________________

Informationsquelle(n):

    Citrix Security Bulletin CTX561482 (englisch)
    https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467


-- 
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230718/4d9f4750/attachment.sig>

More information about the Warning mailing list