Wie Sie sicher schon gehört haben wurde die Citrix privatisiert (von der Börse entfernt) und in die neue Firma Cloud Software Group integriert. (https://www.cloud.com )
Citrix (Virtual Apps und Desktop, Citrix Daas Cloud), NetScaler, ShareFile und auch XenServer werden als eigene Business Group geführt.
Citrix hat in den letzten Jahren diverse On Prem Produkt Lizenzen in Cloud oder in ein Subscription Model geändert.
Hier werden wir Sie laufend über die Änderungen bei der Citrix Lizenzierung informieren:
Netscaler:
Alle Netscaler Hardware und Software (VPX) können nur noch bis am 03.03.2023 als gekaufte Version bestellt werden!
Danach gelten folgende Neuerungen:
Bei Hardware Modellen wird die Hardware und die Maintenance separat gekauft.
Die Lizenzen werden im Subscription Model (fixe Laufzeit) mit Bandbreite und Version gekauft.
Bei allen Modellen (Hardware und VPX) gibt es keine Standard Version mehr.
Virtuelle Netscaler (VPX) gibt es nur noch ab 200 Mbit Durchsatz und auch nur noch im Subscription Model.
Wenn Sie noch 10, 50 Mbit und auch noch Standard benötigen, können Sie diese über uns im CSP (Mietmodel) beziehen.
Alle bestehenden gekauften Netscaler, Hardware wie auch Software, können auch nach dem 03.03.2023 verlängert werden. Ein Update auf eine andere Version oder Bandbreite ist dann jedoch nicht mehr möglich!
Citrix Virtual Apps und Desktop:
Letzte Woche hat Citrix ein Mail an alle Kunden gesendet:
Retiring Perpetual Licensing – Convert to New Citrix Universal Subscription!
Mit dieser Lizenz ist es möglich eine Citrix Umgebung in der Cloud oder auch On Prem zu betreiben.
Kunden mit mehr als 1000 Benutzer können ihre gekauften On Prem Lizenzen nicht mehr verlängern und müssen in ein Subscription Model wechseln. Am Besten auf die neue Universal Subscription Lizenz.
Mit Vorbehalt:
Alle Kunden unter 1000 Lizenzen können ihre Lizenzen auch nach dem 03.03.2023 verlängern.
Wenn sie danach neue zusätzliche Lizenzen brauchen geht das nur über eine Subscription Lizenz. (fixe Laufzeit)
Für Kunden, die jetzt schon im Subscription Model sind, ändert sich nichts.
Citrix erhöht die Preise Ende März für alle Maintenance Kunden. ~10% Darum macht es vielleicht Sinn die bestehenden Lizenzen bis am 03.03.2023 noch für ein bis drei Jahre zu verlängern.
Bitte melden Sie sich bei uns wenn Sie Fragen zur Lizenzierung haben oder ein Angebot wünschen: Maurizio.Mantovani oder Ruedi.lendenmann
Citrix Auto-Renewal:
Wenn die Maintenance nicht durch uns oder einen anderen Reseller verlängert wird, erstellt Citrix automatisch eine Quote und sendet diese an eine im Portal hinterlegte Mailadresse! Wenn Sie darauf nicht reagieren, wird die Lizenz automatisch verlängert und es wird eine Rechnung versendet.
Bitte deaktivieren Sie das Auto-Renewal wie folgt:
Damit Sie ein Ticket bei Citrix eröffnen können, braucht es eine aktive Maintenance und der Lizenz Server muss auf der neusten Version sein: (Der Lic Server braucht Internet Zugang) Required License Server Update (citrix.com)
A vulnerability has been identified that, if exploited, could result in a local user elevating their privilege level to NT AUTHORITY\SYSTEM on a Citrix Virtual Apps and Desktops Windows VDA.
The vulnerability has been given the following identifier:
CVE ID
Description
Vulnerability Type
Pre-conditions
CVE-2023-24483
Privilege Escalation to NT AUTHORITY\SYSTEM on the vulnerable VDA
CWE-269: Improper Privilege Management
Local access to a Windows VDA as a standard Windows user
The vulnerability affects the following supported versions of Citrix Virtual Apps and Desktops:
Current Release (CR)
Citrix Virtual Apps and Desktops versions before 2212
Long Term Service Release (LTSR)
Citrix Virtual Apps and Desktops 2203 LTSR before CU2
Citrix Virtual Apps and Desktops 1912 LTSR before CU6
In addition, customers using Citrix Virtual Apps and Desktops Service using any of the vulnerable versions of Citrix Virtual Apps and Desktops Windows VDA are affected and need to take action.
Vulnerabilities have been identified that, collectively, allow a standard Windows user to perform operations as SYSTEM on the computer running Citrix Workspace app.
These vulnerabilities have the following identifiers:
CVE ID
Description
Vulnerability Type
Pre-conditions
CVE-2023-24484
A malicious user can cause log files to be written to a directory that they do not have permission to write to.
CWE-284: Improper Access Control
Local user access to a system where a vulnerable version of Citrix Workspace App for Windows is later installed or uninstalled by a SYSTEM process (e.g. SCCM).
CVE-2023-24485
Privilege Escalation on the system running a vulnerable version of Citrix Workspace app for Windows
CWE-284: Improper Access Control
Local user access to a system at the time a vulnerable version of Citrix Workspace App for Windows is being installed or uninstalled by an Administrator or SYSTEM process (e.g. SCCM).
The vulnerability affects the following supported versions of Citrix Workspace App for Windows:
Citrix Workspace App versions before 2212
Citrix Workspace App 2203 LTSR before CU2
Citrix Workspace App 1912 LTSR before CU7 Hotfix 2 (19.12.7002)
A vulnerability has been discovered in Citrix Gateway and Citrix ADC, listed below, that, if exploited, could allow an unauthenticated remote attacker to perform arbitrary code execution on the appliance.
CVE-ID
Description
CWE
Affected Products
Pre-conditions
CVE-2022-27518
Unauthenticated remote arbitrary code execution
CWE-664: Improper Control of a Resource Through its Lifetime
Citrix Gateway, Citrix ADC
Citrix ADC or Citrix Gateway must be configured as a SAML SP or a SAML IdP
The following supported versions of Citrix ADC and Citrix Gateway are affected by this vulnerability:
Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
Citrix ADC 12.1-FIPS before 12.1-55.291
Citrix ADC 12.1-NDcPP before 12.1-55.291
Citrix ADC and Citrix Gateway version 13.1 is unaffected.
What Customers Should Do
Exploits of this issue on unmitigated appliances in the wild have been reported. Citrix strongly urges affected customers of Citrix ADC and Citrix Gateway to install the relevant updated versions of Citrix ADC or Citrix Gateway as soon as possible:
Citrix ADC and Citrix Gateway 13.0-58.32 and later releases
Citrix ADC and Citrix Gateway 12.1-65.25 and later releases of 12.1
Citrix ADC 12.1-FIPS 12.1-55.291 and later releases of 12.1-FIPS
Citrix ADC 12.1-NDcPP 12.1-55.291 and later releases of 12.1-NDcPP
Please note that Citrix ADC and Citrix Gateway versions prior to 12.1 are EOL and customers on those versions are recommended to upgrade to one of the supported versions.
Kunden, die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Microsoft November Update ein Problem. Kerberos funktioniert danach nicht mehr mit dem NetScaler und auch weitere Umsysteme sind davon betroffen. Sie erhalten bei einem Login Versuch via NetScaler folgenden Eintrag im System Eventlog des Domain Controllers:
While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.
ACHTUNG: Diese Anpassungen sind nur als Workaround zu verstehen und sollten wieder rückgängig gemacht werden, sobald Microsoft einen Fix für den Fehler bereitstellt!
UPDATE 18.11.2022
Microsoft hat ein OOB Update für Domain Controller veröffentlicht, welches das oben beschriebene Problem löst.
Nach der Installation des Updates auf allen Domain Controllern ist es möglich RC4 wieder vom KCD Account zu entfernen (Attribut: msDS-SupportedEncryptionTypes, Value: 24) und falls gesetzt, den Reg Key «KrbtgtFullPacSignature» wieder zu entfernen.
Vulnerabilities have been discovered in Citrix Gateway and Citrix ADC, listed below. Note that only appliances that are operating as a Gateway (appliances using the SSL VPN functionality or deployed as an ICA proxy with authentication enabled) are affected by the first issue, which is rated as a Critical severity vulnerability.
CVE-ID
Description
CWE
Affected Products
Pre-conditions
CVE-2022-27510
Unauthorized access to Gateway user capabilities
CWE-288: Authentication Bypass Using an Alternate Path or Channel
Citrix Gateway, Citrix ADC
Appliance must be configured as a VPN (Gateway)
CVE-2022-27513
Remote desktop takeover via phishing
CWE-345: Insufficient Verification of Data Authenticity
Citrix Gateway, Citrix ADC
Appliance must be configured as a VPN (Gateway) and the RDP proxy functionality must be configured
CVE-2022-27516
User login brute force protection functionality bypass
CWE-693: Protection Mechanism Failure
Citrix Gateway, Citrix ADC
Appliance must be configured as a VPN (Gateway) OR AAA virtual server and the user lockout functionality “Max Login Attempts” must be configured
The following supported versions of Citrix ADC and Citrix Gateway are affected by this vulnerability:
Citrix ADC and Citrix Gateway 13.1 before 13.1-33.47
Citrix ADC and Citrix Gateway 13.0 before 13.0-88.12
Citrix ADC and Citrix Gateway 12.1 before 12.1.65.21
Citrix ADC 12.1-FIPS before 12.1-55.289
Citrix ADC 12.1-NDcPP before 12.1-55.289
This bulletin only applies to customer-managed Citrix ADC and Citrix Gateway appliances. Customers using Citrix-managed cloud services do not need to take any action.
Microsoft is investigating two reported zero-day vulnerabilities affecting Microsoft Exchange Server 2013, 2016, and 2019. The first vulnerability, identified as CVE-2022-41040, is a Server-Side Request Forgery (SSRF) vulnerability, while the second, identified as CVE-2022-41082, allows remote code execution (RCE) when PowerShell is accessible to the attacker.
What Customers Should Do
To protect your on-prem Exchange you can bind a responder policy on the Citrix ADC contentswitch handling all the Exchange related traffic:
