• IT-Karriere:
  • Services:

Perl-Injection: Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Geräte aus der Netscaler-Serie der Firma Citrix sind für eine Remote-Code-Execution-Lücke anfällig, die sich sehr leicht ausnutzen lässt. Ein Update gibt es bislang nicht, Nutzer müssen die Konfiguration selbst anpassen, um Angriffe zu filtern.

Artikel veröffentlicht am ,
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen.
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen. (Bild: Alexey Komarov, Wikimedia Commons/CC-BY 3.0)

Auf Geräten der Firma Citrix können Angreifer sehr leicht bösartigen Code ausführen. Citrix hat die Lücke (CVE-2019-19781) bereits Mitte Dezember öffentlich bekannt gegeben. Bei vielen Kunden kam das aber offenbar nicht an: Zehntausende der Geräte sind über das Internet erreichbar und verwundbar. Ein Update gibt es bisher nicht, Citrix stellt aber eine Anleitung für Konfigurationsänderungen bereit, mit denen man entsprechende Anfragen filtern kann.

Stellenmarkt
  1. Wiethe Group GmbH, Bremen
  2. Hays AG, Horb am Neckar

Citrix hat bislang nur spärliche Informationen zur Lücke preisgegeben. Allerdings sind inzwischen weitere Details bekannt. Craig Young von der Firma Tripwire hat die Lücke analysiert und war in der Lage, einen funktionierenden Exploit zu erstellen, den er allerdings bislang nicht veröffentlicht hat. Dem Autor dieses Artikels liegt der Exploit vor.

Fehlerhafte Perl-Skripte lassen Angreifer Datei erstellen und Code ausführen

Über eine Directory-Traversal-Lücke im Management-Webinterface des Systems kann ein Angreifer auf Perl-Skripte zugreifen. Über diese Skripte lässt sich durch eine weitere Lücke eine Datei erstellen, deren Inhalt teilweise kontrolliert werden kann. Die Datei wiederum kann man in ein Verzeichnis platzieren, das anschließend von der Perl-Template-Engine verarbeitet wird. Über diese lässt sich mit einem Trick Shellcode ausführen. Bei Kenntnis der Details ist die Ausnutzung der Lücke extrem simpel.

"Die Möglichkeit, dass ein unauthorisierter Remote-Angreifer beliebige Befehle auf einer Security-Appliance wie einem VPN-Gateway ausführen kann, ist eines der schlimmsten Szenarien, die man sich vorstellen kann", kommentierte Young die Lücke gegenüber Golem.de. "Bisher gibt es keine Hinweise, dass die Lücke auch ausgenutzt wird, aber es ist nur eine Frage der Zeit, bis Angreifer einen funktionierenden Exploit haben."

Zehntausende Geräte im Internet erreichbar und verwundbar

Young fand durch Scans fast 40.000 verwundbare Geräte, deren Webinterface über das Internet erreichbar ist. Ausnutzbar ist die Lücke nur dort. Wenn ein Netscaler-Gerät als Web Application Firewall oder Loadbalancer genutzt wird, ist dieses Interface üblicherweise nur über eine private IP erreichbar, somit ist das Risiko geringer. Die offen ausnutzbaren Instanzen sind überwiegend VPN-Endpunkte, bei denen es üblich ist, dass das Webinterface über eine öffentliche IP erreichbar ist.

Bemerkenswert ist, dass es trotz des hohen Risikos bisher kein Update von Citrix gibt. Administratoren müssen manuell die von Citrix vorgeschlagenen Konfigurationsänderungen durchführen, um ihre Infrastruktur zu schützen. Das dürfte auch ein Grund sein, warum noch so viele verwundbare Geräte erreichbar sind. Eine Anfrage von Golem.de hat Citrix bislang nicht beantwortet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 36,99€
  2. 32,99€
  3. 33,99€

Unwichtig 14. Jan 2020

Workaround noch am Tag von der Citrix-Veroeffentlichung angewendet. Trotzdem haben...


Folgen Sie uns
       


Mario Kart Live - Test

In Mario Kart Live fährt ein Klempner durch unser Wohnzimmer.

Mario Kart Live - Test Video aufrufen
    •  /