Sicherheitslücke im Citrix ADC und Gateway

Im Dezember 2019 veröffentlichte Citrix die als „kritisch“ eingestufte Sicherheitslücke CVE-2019-19781. Betroffen sind Citrix Application Delivery Controller (ADC) und Citrix Gateway (ehemals bekannt unter den Namen Citrix NetScaler ADC und Citrix Netscaler Gateway). Die Sicherheitslücke ermöglicht es, nicht authentifizierten Angreifern beliebigen Code auszuführen.

Das Bundesamt für die Sicherheit in der Informationssicherheit (BSI) stufte das Risiko zunächst als „mittel“ ein, korrigierte jedoch seine Einschätzung auf „hoch“.

Noch kein Patch von Citrix verfügbar

Citrix stellt bisher noch keine Patches bereit. Nach eigenen Angaben erwartet Citrix die Verfügbarkeit von Sicherheitsupdates zum Ende Januar 2020.

Workaround – Was ist zu tun?

In seinem Artikel CTX267679 beschreibt Citrix einen Workaround. Durch Konfigurationsänderung soll die Sicherheitsanfälligkeit abgeschwächt werden. Bis zum Erscheinen des Patches empfehlen wir den Workaround zu implementieren.