Perl-Injection: Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Geräte aus der Netscaler-Serie der Firma Citrix sind für eine Remote-Code-Execution-Lücke anfällig, die sich sehr leicht ausnutzen lässt. Ein Update gibt es bislang nicht, Nutzer müssen die Konfiguration selbst anpassen, um Angriffe zu filtern.

Artikel veröffentlicht am ,
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen.
Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen. (Bild: Alexey Komarov, Wikimedia Commons/CC-BY 3.0)

Auf Geräten der Firma Citrix können Angreifer sehr leicht bösartigen Code ausführen. Citrix hat die Lücke (CVE-2019-19781) bereits Mitte Dezember öffentlich bekannt gegeben. Bei vielen Kunden kam das aber offenbar nicht an: Zehntausende der Geräte sind über das Internet erreichbar und verwundbar. Ein Update gibt es bisher nicht, Citrix stellt aber eine Anleitung für Konfigurationsänderungen bereit, mit denen man entsprechende Anfragen filtern kann.

Stellenmarkt
  1. IT Application Consultant (m/w/d)
    Oskar Frech GmbH + Co. KG, Schorndorf-Weiler
  2. Fachinformatiker (m/w/d)
    itsc GmbH, Hannover, Essen
Detailsuche

Citrix hat bislang nur spärliche Informationen zur Lücke preisgegeben. Allerdings sind inzwischen weitere Details bekannt. Craig Young von der Firma Tripwire hat die Lücke analysiert und war in der Lage, einen funktionierenden Exploit zu erstellen, den er allerdings bislang nicht veröffentlicht hat. Dem Autor dieses Artikels liegt der Exploit vor.

Fehlerhafte Perl-Skripte lassen Angreifer Datei erstellen und Code ausführen

Über eine Directory-Traversal-Lücke im Management-Webinterface des Systems kann ein Angreifer auf Perl-Skripte zugreifen. Über diese Skripte lässt sich durch eine weitere Lücke eine Datei erstellen, deren Inhalt teilweise kontrolliert werden kann. Die Datei wiederum kann man in ein Verzeichnis platzieren, das anschließend von der Perl-Template-Engine verarbeitet wird. Über diese lässt sich mit einem Trick Shellcode ausführen. Bei Kenntnis der Details ist die Ausnutzung der Lücke extrem simpel.

"Die Möglichkeit, dass ein unauthorisierter Remote-Angreifer beliebige Befehle auf einer Security-Appliance wie einem VPN-Gateway ausführen kann, ist eines der schlimmsten Szenarien, die man sich vorstellen kann", kommentierte Young die Lücke gegenüber Golem.de. "Bisher gibt es keine Hinweise, dass die Lücke auch ausgenutzt wird, aber es ist nur eine Frage der Zeit, bis Angreifer einen funktionierenden Exploit haben."

Zehntausende Geräte im Internet erreichbar und verwundbar

Golem Akademie
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    21.–22. März 2022, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    15.–17. März 2022, Virtuell
Weitere IT-Trainings

Young fand durch Scans fast 40.000 verwundbare Geräte, deren Webinterface über das Internet erreichbar ist. Ausnutzbar ist die Lücke nur dort. Wenn ein Netscaler-Gerät als Web Application Firewall oder Loadbalancer genutzt wird, ist dieses Interface üblicherweise nur über eine private IP erreichbar, somit ist das Risiko geringer. Die offen ausnutzbaren Instanzen sind überwiegend VPN-Endpunkte, bei denen es üblich ist, dass das Webinterface über eine öffentliche IP erreichbar ist.

Bemerkenswert ist, dass es trotz des hohen Risikos bisher kein Update von Citrix gibt. Administratoren müssen manuell die von Citrix vorgeschlagenen Konfigurationsänderungen durchführen, um ihre Infrastruktur zu schützen. Das dürfte auch ein Grund sein, warum noch so viele verwundbare Geräte erreichbar sind. Eine Anfrage von Golem.de hat Citrix bislang nicht beantwortet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Gesichtserkennung verbessert: iOS 15.4 unterstützt Face ID mit Maske
    Gesichtserkennung verbessert
    iOS 15.4 unterstützt Face ID mit Maske

    iOS 15.4 ermöglicht es, das iPhone per Gesichtserkennung trotz Maske zu entsperren. Die Apple Watch ist dazu nicht mehr nötig.

  2. Giga Factory Berlin: Tesla kauft Bahngleis in Brandenburg
    Giga Factory Berlin
    Tesla kauft Bahngleis in Brandenburg

    Tesla will sein neues Werk in Grünheide besser an den öffentlichen Nahverkehr anbinden und kauft ein Schienenstück für einen eigenen Zug.

  3. Aus dem Verlag: Golem-PC mit Geforce RTX 3050 und 6C-Ryzen
    Aus dem Verlag
    Golem-PC mit Geforce RTX 3050 und 6C-Ryzen

    Sechs CPU-Kerne dank AMDs Ryzen und eine Raytracing-Grafikkarte für 1080p-Gaming: Der Golem Basic Plus ist dafür gerüstet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /