Perl-Injection: Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Geräte aus der Netscaler-Serie der Firma Citrix sind für eine Remote-Code-Execution-Lücke anfällig, die sich sehr leicht ausnutzen lässt. Ein Update gibt es bislang nicht, Nutzer müssen die Konfiguration selbst anpassen, um Angriffe zu filtern.

Artikel veröffentlicht am ,
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen.
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen. (Bild: Alexey Komarov, Wikimedia Commons/CC-BY 3.0)

Auf Geräten der Firma Citrix können Angreifer sehr leicht bösartigen Code ausführen. Citrix hat die Lücke (CVE-2019-19781) bereits Mitte Dezember öffentlich bekannt gegeben. Bei vielen Kunden kam das aber offenbar nicht an: Zehntausende der Geräte sind über das Internet erreichbar und verwundbar. Ein Update gibt es bisher nicht, Citrix stellt aber eine Anleitung für Konfigurationsänderungen bereit, mit denen man entsprechende Anfragen filtern kann.

Stellenmarkt
  1. Executive Customer Solution Architect (m/w/d) mit Fokus auf Security
    Vodafone GmbH, Düsseldorf, Eschborn, Dresden, Hamburg, Unterföhring
  2. Stellentitel (Senior) SAP Technology Engineer (m/w/d)
    OEDIV KG, Bielefeld
Detailsuche

Citrix hat bislang nur spärliche Informationen zur Lücke preisgegeben. Allerdings sind inzwischen weitere Details bekannt. Craig Young von der Firma Tripwire hat die Lücke analysiert und war in der Lage, einen funktionierenden Exploit zu erstellen, den er allerdings bislang nicht veröffentlicht hat. Dem Autor dieses Artikels liegt der Exploit vor.

Fehlerhafte Perl-Skripte lassen Angreifer Datei erstellen und Code ausführen

Über eine Directory-Traversal-Lücke im Management-Webinterface des Systems kann ein Angreifer auf Perl-Skripte zugreifen. Über diese Skripte lässt sich durch eine weitere Lücke eine Datei erstellen, deren Inhalt teilweise kontrolliert werden kann. Die Datei wiederum kann man in ein Verzeichnis platzieren, das anschließend von der Perl-Template-Engine verarbeitet wird. Über diese lässt sich mit einem Trick Shellcode ausführen. Bei Kenntnis der Details ist die Ausnutzung der Lücke extrem simpel.

"Die Möglichkeit, dass ein unauthorisierter Remote-Angreifer beliebige Befehle auf einer Security-Appliance wie einem VPN-Gateway ausführen kann, ist eines der schlimmsten Szenarien, die man sich vorstellen kann", kommentierte Young die Lücke gegenüber Golem.de. "Bisher gibt es keine Hinweise, dass die Lücke auch ausgenutzt wird, aber es ist nur eine Frage der Zeit, bis Angreifer einen funktionierenden Exploit haben."

Zehntausende Geräte im Internet erreichbar und verwundbar

Golem Akademie
  1. OpenShift Installation & Administration
    9.-11. August 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    16./17. September 2021, online
Weitere IT-Trainings

Young fand durch Scans fast 40.000 verwundbare Geräte, deren Webinterface über das Internet erreichbar ist. Ausnutzbar ist die Lücke nur dort. Wenn ein Netscaler-Gerät als Web Application Firewall oder Loadbalancer genutzt wird, ist dieses Interface üblicherweise nur über eine private IP erreichbar, somit ist das Risiko geringer. Die offen ausnutzbaren Instanzen sind überwiegend VPN-Endpunkte, bei denen es üblich ist, dass das Webinterface über eine öffentliche IP erreichbar ist.

Bemerkenswert ist, dass es trotz des hohen Risikos bisher kein Update von Citrix gibt. Administratoren müssen manuell die von Citrix vorgeschlagenen Konfigurationsänderungen durchführen, um ihre Infrastruktur zu schützen. Das dürfte auch ein Grund sein, warum noch so viele verwundbare Geräte erreichbar sind. Eine Anfrage von Golem.de hat Citrix bislang nicht beantwortet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr

Georg T. sitzt seit 109 Tagen in Haft. Grund dafür sind 1.827 Euro Schulden für die Rundfunkgebühr - seine Haft kostet rund 18.000 Euro.

Georg T.: Wieder Haft gegen Nichtzahler der Rundfunkgebühr
Artikel
  1. MIG: Scheuers Funkloch GmbH hat erst zwei Stellen besetzt
    MIG
    Scheuers Funkloch GmbH hat erst zwei Stellen besetzt

    Der Bundesverkehrsminister scheint kein Personal für die Mobilfunkinfrastrukturgesellschaft zu finden.

  2. Bitkom: Entscheidungsfreudiges Digitalministerium im Bund nötig
    Bitkom
    "Entscheidungsfreudiges" Digitalministerium im Bund nötig

    Die Verbände Bitkom und Eco sind sich beim Digitalministerium einig. Eine kompetente Führung sei gefragt.

  3. Streit mit den USA: EU stellt geplante Digitalsteuer zurück
    Streit mit den USA
    EU stellt geplante Digitalsteuer zurück

    Der Kampf um die internationale Mindeststeuer für IT-Konzerne geht in die nächste Runde.

Unwichtig 14. Jan 2020

Workaround noch am Tag von der Citrix-Veroeffentlichung angewendet. Trotzdem haben...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /