Neben Citrix warnen die US-Cyber-Sicherheitsbehörde CISA und weitere IT-Sicherheitsinstitutionen vor einer kritischen Schwachstelle in Citrix ADC und Gateways. Angreifer können sie ohne Anmeldung aus dem Netz missbrauchen, um beliebigen Code auf die Maschinen zu schieben und den zur Ausführung zu bringen (CVE-2022-27518, CVSS 9.8, Risiko „kritisch“). Und das machen sie derzeit bereits. Damit können sie die Maschinen folglich kompromittieren. Details zur Sicherheitslücke gibt es noch nicht. Citrix erklärt in der Sicherheitsmeldung, dass ein Citrix ADC oder Gateway als SAML SP oder SAML IdP konfiguriert sein müsse. Ob das in den eingesetzten Produkten der Fall ist, können IT-Verantwortliche herausfinden, indem sie die ns.conf
-Datei auf die Einträge add authentication samlAction
(SAML SP) oder add authentication samlIdPProfile
(SAML IdP) untersuchen. Sind die vorhanden, ist die Maschine verwundbar. Citrix erläutert, dass die Fehler in Citrix ADC und Citrix Gateway 13.0 vor Version 13.0-58.32, Citrix ADC und Citrix Gateway 12.1 vor 12.1-65.25, Citrix ADC 12.1-FIPS vor 12.1-55.291 sowie Citrix ADC 12.1-NDcPP vor 12.1-55.291 zu finden sind. Nicht von der Schwachstelle betroffen sind demzufolge Citrix ADC und Citrix Gateway in Version 13.1. Die Sicherheitslücke wird bereits aktiv angegriffen, Citrix berichtet von „einer kleinen Anzahl an gezielten Attacken in freier Wildbahn“. Der Hersteller weist dringend darauf hin, dass Kunden die bereitstehenden Updates so schnell wie nur möglich installieren sollen. In einem Blog-Beitrag erklärt Citrix zudem, dass es keine Übergangslösung für die Schwachstelle gibt. Die NSA hat eine Handreichung mit Hinweisen auf eine Kompromittierung (Indicators of Compromise, IoCs) bereitgestellt, die Citrix-Administratoren gegebenenfalls berücksichtigen sollten. Zuletzt mussten IT-Verantwortliche vor rund einem Monat Updates für ihre Citrix ADCs und Gateways anwenden. Auch da wurde eine kritische Sicherheitslücke geschlossen.