Am 18.07.2023 wurde durch den Hersteller Citrix eine Schwachstelle in den Produkten NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) bekannt gegeben. Die Sicherheitslücke wird gemäß Common Vulnerabilities and Exposures (CVE) unter der Nummer CVE-2023-3519 geführt und nach CVSS mit einem Score von 9.8 (“kritisch”) bewertet.
Demnach kann ein nicht-authentifizierter, entfernter Angreifer in die Lage versetzt werden, Code auf dem betroffenen System auszuführen. Ursache ist die Einschleusung von nicht vertrauenswürdigen Daten in eine Programmiersprache bzw. Laufzeitumgebung. Gemäß der Informationen von Citrix wurden bereits Angriffsversuche beobachtet. Daher empfiehlt das BSI allen betroffenen Kunden von NetScaler ADC und NetScaler Gateway, die relevanten Updates so schnell wie möglich zu installieren.
Verwundbar sind die folgenden Versionen von NetScaler ADC und NetScaler Gateway:
- NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-49.13
- NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-91.13
- NetScaler ADC 13.1-FIPS vor 13.1-37.159
- NetScaler ADC 12.1-FIPS vor 12.1-55.297
- NetScaler ADC 12.1-NDcPP vor 12.1-55.297
Es ist zu beachten, dass NetScaler ADC und NetScaler Gateway Version 12.1 bereits das End-of-Life (EOL) erreicht haben und somit trotz ihrer Verwundbarkeit keine Patches erhalten. Neben der Schwachstelle CVE-2023-3519 wurden außerdem eine Reflected Cross-Site-Scripting (CVE-2023-3466) sowie eine Privilege Escalation (CVE-2023-3467) Schwachstelle geschlossen.
Update 1:
Nach einer massiven Ausnutzung wurden annähernd 2000 Citrix NetScaler Instanzen mit Backdoors versehen. Ein Großteil der kompromittierten Server wurde zwar auf CVE-2023-3519 gepatcht, ist aber weiterhin mit einer Backdoor versehen, weil die Ausnutzung der Schwachstelle bereits vor dem Einspielen des Updates geschah.
Diese Maßnahmen sollten ergriffen werden
Um die Sicherheitslücke in den betroffenen Produkten NetScaler ADC und NetScaler Gateway zu beheben, sollten die verfügbaren Updates schnellstmöglichst installiert werden. Es stehen keine Workarounds zur Verfügung. Nach Angaben des Herstellers sind die folgenden Versionsnummern (oder höher) nicht mehr durch die Schwachstelle
CVE-2023-3519 verwundbar:
- NetScaler ADC und NetScaler Gateway 13.1 13.1-49.13 oder höher
- NetScaler ADC und NetScaler Gateway 13.0 13.0-91.13 oder höher
- NetScaler ADC 13.1-FIPS 13.1-37.159 oder höher
- NetScaler ADC 12.1-FIPS 12.1-55.297 oder höher
- NetScaler ADC 12.1-NDcPP 12.1-55.297 oder höher
Das BSI rät vom Einsatz von NetScaler ADC und NetScaler Gateway in Version 12.1 dringend ab, weil diese nicht mehr vom Hersteller unterstützt werden und somit verwundbar bleiben – ausgenommen die zuvor genannten Versionen FIPS bzw. NDcPP. Für aktuelle Informationen und Hinweise zum Beheben der Schwachstelle empfiehlt das BSI IT-Sicherheitsverantwortlichen, das Advisory von Citrix zu prüfen.
Des Weiteren sollte auf eine Kompromittierung geprüft werden, in dem nach Webshells bzw. Dateien gesucht wird, die neuer als das Installationsdatum sind. Zusätzlich können IT-Sicherheitsverantwortliche den HTTP-Error-Log oder Shell-Log auf Auffälligkeiten prüfen. Da bei ADCs immer die Gefahr von Schwachstellen besteht, sollten zudem auch die getroffenen Absicherungsmaßnahmen z. B. anhand der BSI-Empfehlung überprüft werden.
Update 1:
IT-Sicherheitsverantwortliche sollten trotz eingespielten Updates auf eine Kompromittierung anhand von Indicators-of-Compromise (IoCs) prüfen. Es stehen Tools von FOX IT sowie Mandiant auf GitHub zur Verfügung, die automatisiert auf bekannte IoCs prüfen. Shadowserver.org bietet zudem eine Liste von IoCs neben Hintergrundinformationen zu beobachteten Angriffen auf CVE-2023-3519 an. Das BSI empfiehlt auch aktualisierte Citrix NetScaler nochmals ausführlich auf eine Kompromittierung zu prüfen. Da möglicherweise noch unbekannte Angriffe erfolgreich stattgefunden haben, sollten auch die entsprechenden Logs auf Auffälligkeiten geprüft werden. Bleiben auch nach der Prüfung Zweifel an der Integrität des Systems bestehen, kann die Inanspruchnahme externer Unterstützung in Erwägung gezogen werden. Anlaufstellen hierfür bietet zum Beispiel die Liste der vom BSI qualifizierten IT-Dienstleister.
www.bsi.bund.de