Version 1.1: Aktive Ausnutzung einer Schwachstelle in Citrix Application Delivery Controller (ADC)

Beschreibung

Am 18.07.2023 wurde durch den Hersteller Citrix eine kritische Schwachstelle in den Produkten NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) bekannt gegeben. Die Schwachstelle wird gemäß Common Vulnerabilities and Exposures (CVE) unter der Nummer CVE-2023-3519 geführt und nach CVSS mit einem Score von 9.8 ("kritisch") bewertet. Demnach kann ein nicht-authentifizierter, entfernter Angreifer in die Lage versetzt werden, Code auf dem betroffenen System auszuführen. Ursache ist die Einschleusung von nicht vertrauenswürdigen Daten in eine Programmiersprache bzw. Laufzeitumgebung "Code Injection" (CWE-94).

Gemäß dem veröffentlichten Advisory von Citrix wurden bereits Angriffsversuche auf diese Schwachstelle beobachtet. Daher empfiehlt das BSI allen betroffenen Kunden von NetScaler ADC und NetScaler Gateway, die relevanten Updates so schnell wie möglich zu installieren.