• IT-Karriere:
  • Services:

Perl-Injection: Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Geräte aus der Netscaler-Serie der Firma Citrix sind für eine Remote-Code-Execution-Lücke anfällig, die sich sehr leicht ausnutzen lässt. Ein Update gibt es bislang nicht, Nutzer müssen die Konfiguration selbst anpassen, um Angriffe zu filtern.

Artikel veröffentlicht am ,
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen.
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen. (Bild: Alexey Komarov, Wikimedia Commons/CC-BY 3.0)

Auf Geräten der Firma Citrix können Angreifer sehr leicht bösartigen Code ausführen. Citrix hat die Lücke bereits Mitte Dezember öffentlich bekannt gegeben. Bei vielen Kunden kam das aber offenbar nicht an: Zehntausende der Geräte sind über das Internet erreichbar und verwundbar. Ein Update gibt es bisher nicht, Citrix stellt aber eine Anleitung für Konfigurationsänderungen bereit, mit denen man entsprechende Anfragen filtern kann.

Stellenmarkt
  1. Rational AG, Landsberg am Lech
  2. KION Group AG, Frankfurt am Main

Citrix hat bislang nur spärliche Informationen zur Lücke preisgegeben. Allerdings sind inzwischen weitere Details bekannt. Craig Young von der Firma Tripwire hat die Lücke analysiert und war in der Lage, einen funktionierenden Exploit zu erstellen, den er allerdings bislang nicht veröffentlicht hat. Dem Autor dieses Artikels liegt der Exploit vor.

Fehlerhafte Perl-Skripte lassen Angreifer Datei erstellen und Code ausführen

Über eine Directory-Traversal-Lücke im Management-Webinterface des Systems kann ein Angreifer auf Perl-Skripte zugreifen. Über diese Skripte lässt sich durch eine weitere Lücke eine Datei erstellen, deren Inhalt teilweise kontrolliert werden kann. Die Datei wiederum kann man in ein Verzeichnis platzieren, das anschließend von der Perl-Template-Engine verarbeitet wird. Über diese lässt sich mit einem Trick Shellcode ausführen. Bei Kenntnis der Details ist die Ausnutzung der Lücke extrem simpel.

"Die Möglichkeit, dass ein unauthorisierter Remote-Angreifer beliebige Befehle auf einer Security-Appliance wie einem VPN-Gateway ausführen kann, ist eines der schlimmsten Szenarien, die man sich vorstellen kann", kommentierte Young die Lücke gegenüber Golem.de. "Bisher gibt es keine Hinweise, dass die Lücke auch ausgenutzt wird, aber es ist nur eine Frage der Zeit, bis Angreifer einen funktionierenden Exploit haben."

Zehntausende Geräte im Internet erreichbar und verwundbar

Young fand durch Scans fast 40.000 verwundbare Geräte, deren Webinterface über das Internet erreichbar ist. Ausnutzbar ist die Lücke nur dort. Wenn ein Netscaler-Gerät als Web Application Firewall oder Loadbalancer genutzt wird, ist dieses Interface üblicherweise nur über eine private IP erreichbar, somit ist das Risiko geringer. Die offen ausnutzbaren Instanzen sind überwiegend VPN-Endpunkte, bei denen es üblich ist, dass das Webinterface über eine öffentliche IP erreichbar ist.

Bemerkenswert ist, dass es trotz des hohen Risikos bisher kein Update von Citrix gibt. Administratoren müssen manuell die von Citrix vorgeschlagenen Konfigurationsänderungen durchführen, um ihre Infrastruktur zu schützen. Das dürfte auch ein Grund sein, warum noch so viele verwundbare Geräte erreichbar sind. Eine Anfrage von Golem.de hat Citrix bislang nicht beantwortet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Emtec X150 Power Plus SSD 480 GB für 52,90€, Apacer AS340 120 GB SSD für 18...
  2. 285,71€ (Bestpreis!)
  3. (u. a. Surface Go ab 379,00€, Surface Pro 7 ab 764,00€, Surface Laptop 2 ab 999,00€)
  4. 21,00€ (Standard)/35,00€ (Gold)/42,00€ (Ultimate)

Unwichtig 14. Jan 2020 / Themenstart

Workaround noch am Tag von der Citrix-Veroeffentlichung angewendet. Trotzdem haben...

Kommentieren


Folgen Sie uns
       


Asus Expertbook B9 - Hands on (CES 2020)

Das Expertbook B9 von Asus ist ein sehr leichtes, leistungsfähiges Business-Notebook. Im ersten Kurztest macht das Gerät einen guten Eindruck.

Asus Expertbook B9 - Hands on (CES 2020) Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

    •  /