Informationen vom 8.01.2020:
Im Dezember hat Citrix eine Security Vulnerability für alle gängigen Citrix ADC (NetScaler) Versionen bekannt gegeben. Dies betrifft die Versionen 10.5 bis 13.0.
Der CVE-2019-19781 ist bis jetzt nicht bewertet oder veröffentlicht worden. Da es aber scheinbar möglich ist, auf dem /vpns/ Directory mittels https Requests Code Execution durchzuführen, gehen unsere Experten davon aus, dass der CVE hoch bewertet wird. Diese Security Vulnerability ermöglicht einem Angreifer beispielsweise, den Citrix ADC vom WAN zu beenden oder auch Zugriff auf das Firmen LAN zu erlangen!
Von Citrix wurde eine Mitigation vorgeschlagen, die alle Zugriffe auf /vpns/ blockiert – welche kein SSL Client sind. (Quelle: https://support.citrix.com/article/CTX267027)
Es ist zu beachten, dass bei Webserver/Services, die ebenfalls den Pfad /vpns/ verwenden, diese möglicherweise nicht mehr funktionieren. Ebenso ist nach dem Anwenden der Mitigation der Download der Plugins aus dem Admin Interface nicht mehr möglich, da auch dieser im Pfad /vpns/ enthält. Die Plugins können aber über die Shell heruntergeladen werden und diese Einschränkung gilt nur für die administrative Oberfläche.
Update vom 19.01.2020:
Von Citrix gibt es mit 19.01.2020 für die Citrix ADC and Citrix Gateway Versionen 11.1 und 12.0 ein Firmware Fix und für die weiteren supporteten Versionen von Citrix ADC und Citrix Gateway wurde dies für den 24.01.2020 angekündigt.
Auf dem Citrix Blog finden Sie weitere Informationen, sowie die Download-Möglichkeiten des Firmware Updates für die Versionen 11.1 und 12.0.
(Quelle: https://www.citrix.com/blogs/2020/01/19/vulnerability-update-first-permanent-fixes-available-timeline-accelerated/)
Diese ersten Firmware Updates sind über folgende Links verfügbar:
ADC version 12.0: https://www.citrix.com/downloads/citrix-adc/firmware/release-120-build-6313.html
ADC version 11.1: https://www.citrix.com/downloads/citrix-adc/firmware/release-111-build-6315.html
Diese Updates sind nur für die jeweilige Version anwendbar, sollten Sie mehrere ADC Versionen im Unternehmen betreiben, muss die passende Version eingespielt werden, um die Vulnerability beheben zu können.
Version Refresh Build Release Date
11.1 11.1.63.15 19. Jänner 2020
12.0 12.0.63.13 19. Jänner 2020
Update vom 23.1.2020:
Version Refresh Build Release Date
12.1 12.1.55.18 23. Jänner 2020
13.0 13.0.47.24 23. Jänner 2020
10.5 10.5.70.x 24. Jänner 2020
Citrix hat das CVE-2019-19781 – Verification Tool zur Verfügung gestellt, mit dem Sie sicherstellen können, dass die Mitigationen erfolgreich durchgeführt wurden.
Die von Citrix empfohlenen Mitigationen für die ADC Versionen 12.1, 13, 10.5 und SD-WAN WANOP Versionen 10.2.6 and 11.0.3 sind unbedingt einzuspielen, noch bevor alle weiteren Firmware Fixes verfügbar sind.
Auch für Citrix SD-WAN WANOP Versionen gibt es ein Release-Datum für die kommenden Firmware Updates:
Update vom 23.1.2020:
Version Refresh Build Expected Release Date
10.2.6b 11.1.51.615 22. Jänner 2020
11.0.3b 11.1.51.615 22. Jänner 2020
Wir empfehlen dringend, die Aktualisierung so rasch wie möglich durchzuführen. Wie in dem Citrix Artikel (https://support.citrix.com/article/CTX267679) im Abschnitt "Pocedure to revert the changes" beschrieben, können nach dem Upgrade die Mitigation wieder entfernt werden.
Es war zu beobachten, dass die Sicherheitslücke das Potenzial zu Passwortdiebstahl, abgreifen von Informationen, wie z.B. Konfigurationsdateien oder Zertifikaten geboten hat.
Gerne unterstützen wir Sie bei der Implementierung bzw. Feststellung, ob auch Ihr Unternehmen von den Security Vulnerability betroffen ist.
Weiters empfehlen wir Ihnen für weitere aktuelle Security Informationen den RSS News Feed (https://support.citrix.com/feed/products/all/securitybulletins.rss) unter dem Link (https://support.citrix.com/user/alerts) zu abonnieren, um laufend über aktuelle Citrix Security Themen informiert zu sein.
Ihre Anfragen zur Unterstützung nehmen wir gerne unter support.acx@acp.at entgegen.
Bitte beachten Sie, dass die Umsetzung dieser Supportanfrage kostenpflichtig ist und ca. 30 Minuten in Anspruch nimmt.
Unser ACP Security Team (security-ao@acp.at) steht Ihnen bei der Beantwortung von Fragen zur Risikoeinschätzung, Bedrohungsanalyse und Schadenspotenzial, sowie zu den aktuellen neuen Erkenntnissen zur Bedrohung und zur Schwachstelle zur Verfügung.