TI - CVE-2022-27518 - Citrix ADC und Citrix Gateway RCE

Beschreibung:

Citrix hat am 13.12.2022 eine kritische Schwachstelle für die Produkte Citrix ADC und Citrix Gateway veröffentlicht. Nicht authentisierte Angreifer können bei einer erfolgreichen Ausnutzung aus der Ferne beliebigen Code oder Programme ausführen. Damit die Schwachstelle ausgenutzt werden kann, muss Citrix ADC oder Citrix Gateway als SAML SP oder SAML IdP konfiguriert sein.
Folgende Zeilen in der Datei 'ns.conf' weisen auf eine solche Konfiguration hin: add authentication samlAction UND / ODER add authentication samlIdPProfile

Betroffene Systeme:

Citrix ADC und Citrix Gateway 13.0 vor 13.0-58.32 Citrix ADC und Citrix Gateway 12.1 vor 12.1-65.25 Citrix ADC 12.1-FIPS vor 12.1-55.291 Citrix ADC 12.1-NDcPP vor 12.1-55.291 NICHT BETROFFEN: Citrix ADC und Citrix Gateway 13.1

Behobene Versionen:

Citrix ADC und Citrix Gateway 13.0-58.32 und höher Citrix ADC und Citrix Gateway 12.1-65.25 und höher Citrix ADC 12.1-FIPS 12.1-55.291 und höher Citrix ADC 12.1-NDcPP 12.1-55.291 und höher

Empfohlene Maßnahmen:

Wir empfehlen, umgehend die Updates der unterstützten Versionen zu installieren, wenn eine verwundbare Konfiguration gegeben ist. Wenn das betroffene Asset nicht mit SAML SP oder SAML IdP konfiguriert ist, ist die Aktualisierung nicht zeitkritisch. Citrix merkt auch an, dass Versionen vor 12.1 nicht mehr unterstützt werden und zeitnah auf eine unterstützte Version aktualisiert werden sollten.

Einschätzung der Bedrohung:

Die NSA merkt in einem Bericht an, dass es bereits aktive, zielgerichtete Angriffe auf die Schwachstelle gibt. Technische Details zur Schwachstelle sind aktuell nicht verfügbar.

Weiterführende Links:

https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518 

https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF