Citrix roept klanten op een belangrijke securitypatch te installeren voor Citrix ADC en Citrix Gateway. Met die kwetsbaarheden is het mogelijk om toegang te krijgen tot een apparaat en dat over te nemen. Ook externe beveiligingsonderzoekers waarschuwen voor de bug.
Citrix schrijft in een advisory dat er drie kwetsbaarheden zitten in Application Delivery Controller, of ADC, en Gateway. Door die drie kwetsbaarheden als een chain te gebruiken, is het mogelijk om op afstand een apparaat over te nemen. De bugs zijn alleen uit te buiten op apparaten die als Gateway zijn ingesteld, dus die de vpn-functie van de Gateway-software gebruiken of als een ICA-proxy zijn ingesteld. Dat is een veelgebruikte functie van Gateway; veel klanten hebben de software zo ingericht. Citrix-clouddiensten zijn niet kwetsbaar, omdat de bugs daar al door Citrix zijn opgelost.
De kwetsbaarheden zitten in de meeste versies van na 12.1. Dat zijn de volgende versies:
- Citrix ADC en Citrix Gateway 13.1 vóór 13.1-33.47
- Citrix ADC en Citrix Gateway 13.0 vóór 13.0-88.12
- Citrix ADC en Citrix Gateway 12.1 vóór 12.1.65.21
- Citrix ADC 12.1-FIPS vóór 12.1-55.289
- Citrix ADC 12.1-NDcPP vóór 12.1-55.289
Citrix zegt dat versies vóór 12.1 al end-of-life zijn. Omdat die geen beveiligingsupdates meer krijgen, zegt Citrix niet of die versies kwetsbaar zijn voor deze specifieke bug. Het bedrijf raadt klanten daarvan aan de software in ieder geval naar een wel ondersteunde versie te upgraden.
In ADC en Gateway zitten drie kwetsbaarheden. De eerste daarvan krijgt een Critical-rating mee omdat die het mogelijk maakt om op afstand toegang te krijgen tot een Gateway-apparaat. Ook met de andere twee kwetsbaarheden kan een apparaat mogelijk worden overgenomen, al zijn die ingewikkelder om in de praktijk uit te buiten omdat er bijvoorbeeld een phishingaanval bij nodig is.
| CVE | CWE | Omschrijving | Benodigdheden |
| CVE-2022-27510 | CWE-288 Authenticatieomzeiling via alternatief path |
Toegang op afstand met Gateway-gebruikersrechten | Apparaat moet als vpn-Gateway geconfigureerd zijn |
| CVE-2022-27513 | CWE-345 Onvoldoende verificatie van data-authenticiteit |
Desktopovername op afstand via phishingaanval | Apparaat moet als vpn-Gateway geconfigureerd zijn en RDP-proxy moet zijn ingeschakeld |
| CVE-2022-27516 | CWE-693 Failure van beschermingsmechanisme |
Omzeilen van gebruikerslogin via brute-force | Apparaat moet als vpn-Gateway of AAA-virtual server geconfigureerd zijn en beschermingsfunctie Max Login Attempts moet zijn ingeschakeld |
Naast Citrix waarschuwen ook onafhankelijke beveiligingsexperts en -instanties voor de kwetsbaarheden. Het Nederlands Nationaal Cyber Security Centrum heeft een advisory uitgebracht waarin het voor de bug waarschuwt. In 2020 werden ook nog ernstige kwetsbaarheden ontdekt in Citrix ADC en Gateway. Daardoor was het mogelijk apparaten met ransomware te infecteren. Omdat de software toen veel werd gebruikt door thuiswerkers, konden veel werknemers en ambtenaren alleen nog op kantoor werken. Daardoor ontstond het populaire woord Citrix-file, omdat het drukker op de weg werd. De Citrix-kwetsbaarheden werden lang niet door iedereen direct opgelost en behoorden in 2020 tot de meest aangevallen systemen.
Bron: Tweakers.net