Fox IT 's Sicherheitsforscher haben das Internet gescannt und sind weltweit auf zahlreiche verwundbare Citrix-Server gestoßen. Angreifer verschaffen sich weitreichenden Zugriff, indem sie die "kritische" Sicherheitslücken bereits ausnutzen. Schon seit November 2022 sind Sicherheitspatches verfügbar.

Die Forscher haben laut eines Berichtes Parameter der HTTP-Antwort analysiert und konnten eigenen Angaben zufolge daraus auf die installierte Version schließen. Die ADC-/Gateway-Version 13.0-88.14, in der beide Schwachstellen (CVE-2022-27510, CVE-2022-27518) geschlossen sind, wurde vom Großteil bereits installiert.

Allerdings kommt auf rund 3500 Systemen noch die Ausgabe 12.1-65.21 zum Einsatz, in der die Lücke mit der Kennung CVE-2022-27518 noch nicht geschlossen ist. Darüber können Angreifer Schadcode auf Instanzen schieben und ausführen, was auch bereits seit Dezember 2022 passiert. Aber nur Systeme mit SAML SP oder IdP-Konfigurationen sind angreifbar.

Admins können prüfen, ob diese Einstellungen aktiv sind, indem sie die ns.conf-Datei auf die Einträge add authentication samlAction (SAML SP) oder add authentication samlIdPProfile (SAML IdP) untersuchen.

Die verwundbaren Citrix-Server stehen laut den Forschern unter anderem in den USA, Frankreich und Deutschland.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE