ISGroup Cybersicherheitsberatung

CVE-2024-6235: Kritische Authentifizierungsumgehung in der Citrix NetScaler-Konsole

Im Juli 2024 enthüllte Citrix eine kritische Sicherheitslücke in der NetScaler Console-Software. Diese Schwachstelle, die in der Version 14.1 bis einschließlich (aber nicht inklusive) 14.1-25.53 vorhanden ist, könnte es einem Angreifer ermöglichen, unbefugten administrativen Zugriff zu erlangen. Obwohl sie anfangs als einfache „Informationsfreigabe“ beschrieben wurde, stellte sich heraus, dass die Schwachstelle es Angreifern ermöglicht, die Authentifizierung vollständig zu umgehen, was erhebliche Risiken für Organisationen darstellt, die die betroffenen Softwareversionen einsetzen.

ProduktCitrix-NetScaler
Datum2025-05-20 10:10:46
Informationen
  • Trending
  • Fix verfügbar

Technische Zusammenfassung

CVE-2024-6235 ist eine kritische Schwachstelle (CVSS v4-Score: 9.4) in der Citrix NetScaler Console 14.1, die auf eine fehlerhafte Authentifizierung (CWE-287) zurückzuführen ist. Die Sicherheitslücke liegt in einem internen API-Endpunkt (/internal/v2/config/mps_secret/ADM_SESSIONID), der die Sitzungsvalidierungsprüfungen unsachgemäß umgeht. Wenn spezifische HTTP-Header (Tenant-Name: Owner, User-Name: nsroot, Mps-Internal-Request: true) gesendet werden, kann ein Angreifer ohne Authentifizierung eine gültige administrative Sitzungs-ID erhalten.

Diese Sitzungs-ID kann in API-Anfragen wiederverwendet werden, um administrative Aktionen durchzuführen, wie zum Beispiel das Erstellen neuer Super-Admin-Benutzer. Die Schwachstelle beruht auf dem Vertrauen in den internen Prozess mas_service, der Anfragen über HTTP/HTTPS auf den Ports 80 und 443 verarbeitet. Der Zugriff auf die interne API erfordert keine Authentifizierungs-Header oder Sitzungs-Cookies, sondern lediglich eine speziell präparierte Anfrage.

Forscher bestätigten die Auswirkungen, indem sie mithilfe der Sitzungs-ID neue Administratorkonten erstellten. Sie beobachteten dabei, dass für zustandsverändernde Operationen, wie die Erstellung von Benutzern, zusätzliche Anfragetoken (rand_key) erforderlich waren. Bei weiterer Analyse könnten solche Token möglicherweise umgangen oder vorhergesagt werden.

Empfehlungen

  • Sofortige Maßnahme: Aktualisieren Sie die NetScaler Console auf die Version 14.1-25.53 oder höher, in der die Schwachstelle behoben wurde.

  • Netzwerksegmentierung: Stellen Sie sicher, dass Verwaltungsschnittstellen (wie die NetScaler Console) nicht dem Internet ausgesetzt sind. Beschränken Sie den Zugriff ausschließlich auf vertrauenswürdige interne Netzwerke.

  • Überwachung: Analysieren Sie die Protokolle (Logs), um anomale Zugriffsmuster oder die unbefugte Erstellung von Benutzern zu identifizieren, insbesondere in Bezug auf den internen Endpunkt /mps_secret/ADM_SESSIONID.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *