Perl-Injection: Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Geräte aus der Netscaler-Serie der Firma Citrix sind für eine Remote-Code-Execution-Lücke anfällig, die sich sehr leicht ausnutzen lässt. Ein Update gibt es bislang nicht, Nutzer müssen die Konfiguration selbst anpassen, um Angriffe zu filtern.

Artikel veröffentlicht am ,
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen.
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen. (Bild: Alexey Komarov, Wikimedia Commons/CC-BY 3.0)

Auf Geräten der Firma Citrix können Angreifer sehr leicht bösartigen Code ausführen. Citrix hat die Lücke (CVE-2019-19781) bereits Mitte Dezember öffentlich bekannt gegeben. Bei vielen Kunden kam das aber offenbar nicht an: Zehntausende der Geräte sind über das Internet erreichbar und verwundbar. Ein Update gibt es bisher nicht, Citrix stellt aber eine Anleitung für Konfigurationsänderungen bereit, mit denen man entsprechende Anfragen filtern kann.

Citrix hat bislang nur spärliche Informationen zur Lücke preisgegeben. Allerdings sind inzwischen weitere Details bekannt. Craig Young von der Firma Tripwire hat die Lücke analysiert und war in der Lage, einen funktionierenden Exploit zu erstellen, den er allerdings bislang nicht veröffentlicht hat. Dem Autor dieses Artikels liegt der Exploit vor.

Fehlerhafte Perl-Skripte lassen Angreifer Datei erstellen und Code ausführen

Über eine Directory-Traversal-Lücke im Management-Webinterface des Systems kann ein Angreifer auf Perl-Skripte zugreifen. Über diese Skripte lässt sich durch eine weitere Lücke eine Datei erstellen, deren Inhalt teilweise kontrolliert werden kann. Die Datei wiederum kann man in ein Verzeichnis platzieren, das anschließend von der Perl-Template-Engine verarbeitet wird. Über diese lässt sich mit einem Trick Shellcode ausführen. Bei Kenntnis der Details ist die Ausnutzung der Lücke extrem simpel.

"Die Möglichkeit, dass ein unauthorisierter Remote-Angreifer beliebige Befehle auf einer Security-Appliance wie einem VPN-Gateway ausführen kann, ist eines der schlimmsten Szenarien, die man sich vorstellen kann", kommentierte Young die Lücke gegenüber Golem.de. "Bisher gibt es keine Hinweise, dass die Lücke auch ausgenutzt wird, aber es ist nur eine Frage der Zeit, bis Angreifer einen funktionierenden Exploit haben."

Zehntausende Geräte im Internet erreichbar und verwundbar

Young fand durch Scans fast 40.000 verwundbare Geräte, deren Webinterface über das Internet erreichbar ist. Ausnutzbar ist die Lücke nur dort. Wenn ein Netscaler-Gerät als Web Application Firewall oder Loadbalancer genutzt wird, ist dieses Interface üblicherweise nur über eine private IP erreichbar, somit ist das Risiko geringer. Die offen ausnutzbaren Instanzen sind überwiegend VPN-Endpunkte, bei denen es üblich ist, dass das Webinterface über eine öffentliche IP erreichbar ist.

Bemerkenswert ist, dass es trotz des hohen Risikos bisher kein Update von Citrix gibt. Administratoren müssen manuell die von Citrix vorgeschlagenen Konfigurationsänderungen durchführen, um ihre Infrastruktur zu schützen. Das dürfte auch ein Grund sein, warum noch so viele verwundbare Geräte erreichbar sind. Eine Anfrage von Golem.de hat Citrix bislang nicht beantwortet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Custom Keyboard
Youtuber baut riesige Tastatur für 13.500 Euro

Die Switches haben das 64-fache Volumen und das Gehäuse ist menschenhoch: Ein Youtuber baut eine absurd große Tastatur für absurd viel Geld.

Custom Keyboard: Youtuber baut riesige Tastatur für 13.500 Euro
Artikel
  1. Super Nintendo: Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux
    Super Nintendo
    Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux

    Aus 80.000 Zeilen C-Code besteht die per Reverse Engineering generierte Version von Zelda 3. Die bringt einige Verbesserungen und 16:9.

  2. Twitter: Der blaue Haken bringt Musk nur wenig Geld
    Twitter
    Der blaue Haken bringt Musk nur wenig Geld

    Weltweit hat Twitter angeblich schon einige Hunderttausend zahlende Nutzer. Das dürfte die Finanzprobleme aber nur wenig mildern.

  3. Linux: Alte Computer zu neuem Leben erwecken
    Linux
    Alte Computer zu neuem Leben erwecken

    Computer sind schon nach wenigen Jahren Nutzungsdauer veraltet. Doch mit den schlanken Linux-Distributionen AntiX-Linux, Q4OS oder Simply Linux erleben ältere PC-Systeme einen zweiten Frühling.
    Von Erik Bärwaldt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • DAMN-Deals: AMD CPUs zu Tiefstpreisen (u. a. R7 5800X3D 324€)• MindStar: Zotac RTX 4070 Ti 949€, XFX RX 6800 519€ • WSV-Finale bei MediaMarkt (u. a. Samsung 980 Pro 2 TB Heatsink 199,99€) • RAM im Preisrutsch • Powercolor RX 7900 XTX 1.195€ • PCGH Cyber Week nur noch kurze Zeit [Werbung]
    •  /