Kritieke Citrix DDoS-bug sluit netwerk en toegang tot cloud-apps af

Een kritieke beveiligingsbug in de Citrix Application Delivery Controller (ADC) en Citrix Gateway kan cyberaanvallers in staat stellen hele bedrijfsnetwerken te laten crashen zonder dat ze zich hoeven te authenticeren.

De twee betrokken Citrix-producten (voorheen de NetScaler ADC en Gateway) worden respectievelijk gebruikt voor applicatiebewust verkeersbeheer en beveiligde toegang op afstand. De federatieve werkspecialist heeft dinsdag een beveiligingspatch uitgebracht voor de kwetsbaarheid, bijgehouden als CVE-2021-22955, die volgens het advies niet-geverifieerde denial of service (DoS) mogelijk maakt vanwege ongecontroleerd resourceverbruik.

Citrix heeft ook een minder ernstige bug aangepakt die eveneens te wijten is aan ongecontroleerd gebruik van bronnen. Het heeft gevolgen voor zowel eerdere producten als de Citrix SD-WAN WANOP Edition-appliance. Dit laatste biedt optimalisatie voor Citrix SD-WAN-implementaties, die veilige connectiviteit en naadloze toegang tot virtuele, cloud- en software-as-a-service (SaaS)-apps mogelijk maken op bedrijfs- en filiaallocaties.

Bijgehouden als CVE-2021-22956, maakt de tweede fout tijdelijke verstoring mogelijk van: de beheer-GUI van een apparaat; de Nitro API voor het programmatisch configureren en bewaken van NetScaler-appliances; en RPC-communicatie (Remote Procedure Call), wat in wezen gedistribueerd computergebruik in Citrix-instellingen mogelijk maakt.

Wat de impact van uitbuiting betreft, worden alle drie de producten wereldwijd op grote schaal ingezet, met Gateway en ADC alleen al geïnstalleerd in ten minste 80.000 bedrijven in 158 landen vanaf begin 2020, volgens een beoordeling van destijds door Positive Technologies.

Verstoring van een van de apparaten kan toegang op afstand en filialen tot bedrijfsbronnen en algemene blokkering van cloud- en virtuele activa en apps verhinderen.

Dit alles maakt ze een aantrekkelijk doelwit voor cybercriminelen, en inderdaad, de Citrix ADC en Gateway in het bijzonder zijn geen springkippen als het gaat om de kritieke kwetsbaarheidsscène.

In de zomer van 2020 werden meerdere kwetsbaarheden ontdekt die code-injectie, openbaarmaking van informatie en denial of service mogelijk zouden maken, waarvan vele kunnen worden misbruikt door een niet-geverifieerde, externe aanvaller. En in december 2019 werd een kritieke RCE-bug onthuld als een zero-day die de leverancier weken kostte om te patchen.

Weinig technische details, veel betrokken producten

Hoewel Citrix geen technische details over de nieuwste bugs heeft vrijgegeven, merkte VulnDB woensdag op dat voor CVE-2021-22955 “de exploiteerbaarheid moeilijk wordt genoemd. De aanval kan alleen worden gestart binnen het lokale netwerk. De exploitatie vereist geen enkele vorm van authenticatie.” Het kende een ernstscore van 5,1 op 10 toe aan de bug, ondanks de interne beoordeling van Citrix van ‘kritiek’.

De site meldde ook dat exploits naar schatting tot $ 5.000 waard zijn, en merkte op dat “manipulatie met een onbekende invoer leidt tot een denial of service-kwetsbaarheid … Dit zal een impact hebben op de beschikbaarheid.”

De leverancier zei dat de kwetsbaarheden van invloed zijn op de volgende ondersteunde versies:

Citrix ADC en Citrix Gateway (CVE-2021-22955 en CVE-2021-22956):

  • Citrix ADC en Citrix Gateway 13.0 vóór 13.0-83.27
  • Citrix ADC en Citrix Gateway 12.1 voor 12.1-63.22
  • Citrix ADC en NetScaler Gateway 11.1 vóór 11.1-65.23
  • Citrix ADC 12.1-FIPS vóór 12.1-55.257

Citrix SD-WAN WANOP-editie (CVE-2021-22956):

  • Modellen 4000-WO, 4100-WO, 5000-WO en 5100-WO
  • Versie 11.4 vóór 11.4.2
  • Versie 10.2 vóór 10.2.9c
  • De WANOP-functie van SD-WAN Premium Edition wordt niet beïnvloed.

In het geval van de eerste Citrix ADC- en Gateway-bug moeten apparaten worden geconfigureerd als een virtuele VPN- of AAA-server om kwetsbaar te zijn.

In het geval van de tweede bug moeten apparaten toegang hebben tot NSIP of SNIP met toegang tot de beheerinterface.

Klanten die gebruikmaken van door Citrix beheerde cloudservices worden niet beïnvloed.

Kop 1

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

Een dreigingsactor maakt misbruik van een zero-day-kwetsbaarheid in FatPipe’s virtual private network (VPN)-apparaten als een manier om bedrijven te hacken en…
Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Een door de staat gesteunde Iraanse dreigingsactor maakt gebruik van meerdere CVE’s – waaronder al maanden ernstige Fortinet-kwetsbaarheden en wekenlang een…
6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

Sky, een Britse breedbandprovider, liet de onderbuik van ongeveer 6 miljoen klanten bloot aan aanvallers die hun tanden op afstand in…