Zügig aktualisieren: Angreifer könnten Citrix ADM übernehmen

Zügig aktualisieren: Angreifer könnten Citrix ADM übernehmen

Citrix warnt vor teils kritischen Sicherheitslücken in der Application Delivery Management-Software (ADM). Angreifer könnten sich vollen Zugang verschaffen, ohne vorherige Anmeldung am System. Aktualisierungen beheben die Fehler.

Die schwerwiegendere Schwachstelle ermöglicht Angriffe von Nutzern aus dem Netz, die zudem keiner Authentifizierung bedürfen. Lediglich der Zugriff auf die IP-Adresse des Systems genügt. Angreifer könnten die Lücke missbrauchen, um das Administrator-Passwort beim nächsten Neustart zurückzusetzen. Nach einem Reboot gelingt schließlich der Zugriff per SSH mit werksseitigen Standard-Zugangsdaten.

Die Lücke hat den CVE-Eintrag CVE-2022-27511 erhalten, der jedoch noch nicht öffentlich zugreifbar ist; es fehlt daher auch noch die konkrete Einstufung des Schweregrads nach CVSS. Citrix selber schreibt jedoch, dass das Unternehmen die Lücke als kritisch einschätzt.

Der zweite Fehler, den Citrix in der Sicherheitsmeldung beschreibt, betrifft die Lizenzvergabe von ADM. Angreifer könnten den Dienst temporär so stören, dass er keine neuen Lizenzen ausstellt oder erneuerte Lizenzen nicht verteilt werden können. Im Vergleich handelt es sich jedoch um eine Lücke mit niedrigerem Risiko. Auch hier ist der CVE-Eintrag CVE-2022-27512 noch unter Verschluss und der CVSS-Score derzeit nicht verfügbar.

Die Fehler finden sich in Citrix Application Delivery Management 12.1, 13.0 und 13.1. Citrix ADM 12.1 erhält keine Unterstützung mehr, hier empfehlt der Hersteller, schnellstmöglich auf eine unterstützte Version umzusteigen. Für die Versionen mit Support stellt Citrix die Fassungen 13.0-85.19 sowie 13.1-21.53 bereit, die die Sicherheitslecks abdichten.

Administratoren müssen sowohl die Server und die Agents auf den neuen Stand bringen. Das Unternehmen drängt IT-Verantwortliche in der Sicherheitsmeldung, dies so schnell wie möglich zu erledigen. Nutzer des Citrix ADM Service müssen hingegen nicht aktiv werden. Hier hat der Hersteller die Aktualisierung bereits vorgenommen.


(dmk)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.