Momentan gibt es mehrere Meldungen durch Security Scanner, dass über NetScaler publizierte Webseiten vom Ripple20 Vulnerability betroffen sind.
Citrix ADC Produkte (NetScaler, ADM, SDX) sind nicht betroffen von der Schwachstelle welche als «Ripple20» publiziert wurde.
Mehr Informationen sind im folgenden Citrix Artikel zu finden: https://support.citrix.com/article/CTX279769
Mehrere Schwachstellen wurden in Citrix ADC (früher bekannt als NetScaler ADC), Citrix Gateway (früher bekannt als NetScaler Gateway) und Citrix SD-WAN WANOP Appliance-Modelle 4000-WO, 4100-WO, 5000-WO und 5100-WO entdeckt. Diese Schwachstellen können, wenn sie ausgenutzt werden, zu den folgenden Sicherheitsproblemen führen:
| CVE ID | Description | Vulnerability Type | Affected Products | Pre-conditions |
| CVE-2020-8245 | An HTML Injection attack against the SSL VPN web portal | CWE-79: Improper Neutralization of Input During Web Page Generation | Citrix ADC, Citrix Gateway | Requires an authenticated victim on the SSL VPN web portal who must open an attacker-controlled link in the browser |
| CVE-2020-8246 | A denial of service attack originating from the management network | CWE-400: Uncontrolled Resource Consumption | Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP | Unauthenticated attacker with access to the management network |
| CVE-2020-8247 | Escalation of privileges on the management interface | CWE-269: Improper Privilege Management | Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP | An attacker must possess privilege to execute arbitrary commands on the management interface |
Die Schwachstellen werden in den folgenden unterstützten Versionen behoben:
Zusätzlich wurden den oben genannten Versionen von Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP Sicherheitsverbesserungen hinzugefügt, um Kunden vor Angriffen durch HTTP Request Smuggling zu schützen. Kunden können diese Verbesserungen über die Verwaltungsschnittstelle von Citrix ADC aktivieren. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX282268.
Zwei der drei Schwachstellen haben ihren Ursprung in der Verwaltungsschnittstelle von Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP. Citrix empfiehlt dringend, den Netzwerkverkehr zur Verwaltungsschnittstelle der Appliance entweder physisch oder logisch vom normalen Netzwerkverkehr zu trennen. Auf diese Weise wird das Risiko der Ausnutzung stark vermindert. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html.
Installieren Sie so schnell wie möglich ein der veröffentlichten Updates.
Haben Sie Fragen oder benötigen Hilfe? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.
Personalisierte Themes die auf RfWebUI basieren funktionieren nach dem Upgrade auf die Builds 13.0-47.22 und 13.0-47.24 nicht mehr.
Neu erstellte und nicht RfWebUI-basierte benutzerdefinierte Themen haben keine Probleme.
Dieses Problem wird in der nächsten MR-Version für 13.0 behoben werden.
Bitte befolgen Sie einen der aufgeführten Woekaround, um dieses Problem zu beheben.
Führen Sie folgenden Befehl für jedes RfWebUI-basierte Them aus:
ln –s /var/netscaler/logon/LogonPoint/index.html /var/netscaler/logon/themes/<CustomThemeName >/index.html
ln –s /var/netscaler/logon/LogonPoint/tmindex.html /var/netscaler/logon/themes/<CustomThemeName >/tmindex.htmlWenn es viele benutzerdefinierte Themen gibt, kann das folgende Skript ausgeführt werden, so dass alle benutzerdefinierten Themen in einem Rutsch fixiert werden. Kopieren Sie das Skript auf Citrix ADC und führen Sie es mit dem folgenden Befehl aus:
shell# python fix_RfWebUI_CustomThemes.py
Erstellt: Mittwoch 19. Februar 2020
Version: 1.0
Die bevorstehende Chrome-Version, Chrome 80, wird das standardmäßige domänenübergreifende Verhalten von Cookies ändern. Diese Änderung wird die Sicherheit erhöhen, erfordert jedoch, dass Kunden und Partner Citrix ADC-Bereitstellungen, die auf Cookies basieren, testen.
Hinweis: Chrome 80 wird voraussichtlich am 4. Februar veröffentlicht, obwohl die Änderungen an den Cookies nur in einer begrenzten Phase ab dem 17. Februar erfolgen werden.
https://www.chromium.org/updates/same-site/
Mit dem Citrix ADC können 2 Arten von Cookies im Spiel sein:
Wenn eine Anwendung nach dem Chrome-Update das Einfügen von Citrix ADC- (oder APP-) Cookies durch den Browser in einem standortübergreifenden Kontext erfordert (im Abschnitt «Hintergrund» weiter unten erläutert), wird der Chrome-Browser dies in wenigen Szenarien mit dem Chrome 80-Update nicht tun.
Für alle VPN- und AAA-Bereitstellungen nur innerhalb eines Iframe mit standortübergreifendem Kontext, die das Einfügen von Citrix Gateway- oder AAA-Cookies durch den Browser erfordern, gibt der Google-Chrome-Browser nach der Aktualisierung keine standortübergreifenden Cookies frei, was sich nur auf diese speziellen Bereitstellungen auswirkt und die Iframe-Komponente der Website nicht lädt.
Alle VPN– und AAA-Bereitstellungen mit demselben Website-Kontext oder ohne Iframes haben keine Auswirkungen und funktionieren nach dem Chrome-Update problemlos.
Derzeit enthalten typische Browser das Cookie in HTTP-Anfragen in 2 Kontexten.
Im standortübergreifenden Kontext kann es zu CSRF-Angriffen (Cross Site Request Forgery) kommen, die dazu führen können, dass ein Angreifer die Sitzung des Benutzers stiehlt, um unerwünschte Aktionen im Namen des Benutzers durchzuführen. Um dies zu verhindern, empfiehlt RFC6265 bis, ein neues Attribut «SameSite» in das Cookie einzufügen, das dem Browser anzeigt, ob das Cookie für den Cross-Site-Kontext oder nur für den Kontext der gleichen Website verwendet werden kann. Auch wenn eine Anwendung beabsichtigt, im standortübergreifenden Kontext aufgerufen zu werden, kann sie dies nur über eine https-Verbindung tun.
Das SameSite-Attribut kann die folgenden Optionen annehmen.
Hinweis: Wenn kein SameSite-Attribut im Cookie vorhanden ist, übernimmt der Chrome-Browser ab Februar 2020 die Funktionalität von SameSite=Lax. Der aktuelle Standardwert der SameSite-Einstellung ist None, was dem Browser die Verwendung von Cookies im Kontext von Drittanbietern ermöglicht.
Optionen auf Konfigurationsebene zur Anpassung an diese Änderung werden in den Versionen 13.0, 12.1, 12.0 und 11.1 verfügbar sein, die bis zum 6. März 2020 veröffentlicht werden sollen.
In Chrome 80 gibt es eine Option, die es Ihnen ermöglicht, zum alten Cookie-Verhalten zurückzukehren. Diese wird für mindestens 12 Monate nach der Veröffentlichung von Chrome 80 stabil verfügbar sein.
Weitere Informationen finden Sie unter SameSite Updates.
Man kann eine antwortbasierte Neuschreibrichtlinie so konfigurieren, dass sie sich den «Set-Cookie»-Header in der vom Backend-Server gesendeten Antwort ansieht und das «SameSite»-Cookie-Attribut anhängt.
Ein Beispiel für eine Rewrite-Richtlinie sieht so aus:
add rewrite action rewrite_http_header replace_all http.RES.full_Header "\"SameSite=None; Secure; path=/\"" -search "regex(re!(path=/\\; SameSite)|(path=/)!)" add rewrite policy append_samesite_cookie "http.RES.HEADER(\"Set-Cookie\").EXISTS" rewrite_http_headerobige Umschreibungsrichtlinien müssen anwendungsspezifische virtuelle Server auf Citrix ADC gebunden werden.
Derzeit gibt es zwei Workarounds, um einen eventuellen Bruch (aufgrund des Chrom-Updates) von Anwendungen mit COOKIEINSERT-Persistenz, die auf LB vserver konfiguriert sind, zu verhindern.
1. Verwenden Sie eine RULE-basierte Persistenz der Antwort
Wenn die Backend-Anwendung ein eindeutiges Cookie für jede der Client-Sitzungen sendet, kann Citrix ADC diesen eindeutigen Cookie-Wert als Schlüssel verwenden und einen RULE-basierten Persistenzeintrag erstellen, der die Backend-Server-Informationen speichert, die dem empfangenen Cookie entsprechen. Wenn die Clientanforderung mit diesem Cookie zurückkommt, verwendet Citrix ADC den Cookie-Wert als Schlüssel und holt den entsprechenden Backend-Server, um die Anforderung weiterzuleiten, wodurch die durch die COOKIEINSERT-Persistenz erreichte Klebrigkeit beibehalten wird. Dieser Ansatz funktioniert nur dann, wenn der Backend-Server für jeden Client in der Antwort ein eindeutiges Cookie-Schlüssel/Wert-Paar sendet.
Unten finden Sie eine Beispielkonfiguration, bei der der Back-End-Server ein Cookie mit dem Schlüssel als SESSIONID sendet. Die SESSIONID in der folgenden Konfiguration muss durch den vom Backend gesendeten eindeutigen Cookie-Schlüssel ersetzt werden.
set lb vserver lbvs -persistenceType RULE -rule "HTTP.REQ.COOKIE.VALUE(\"SESSIONID\")" -resRule "HTTP.RES.SET_COOKIE.COOKIE(\"SESSIONID\").VALUE(0)"2. Zweistufige Topologie mit einer neuen Citrix ADC-Front, die die bestehenden Citrix ADCs beendet
Der Kunde kann eine zweistufige Topologie mit einer neuen Citrix ADC-Front haben, die den Datenverkehr für den Tier-2-Citrix ADC (bestehender Citrix ADC) beendet. Der erste Citrix ADC der ersten Schicht schreibt die Antwort neu, um das SameSite-Attribut für alle Cookies, die vom Tier-2-Citrix ADC empfangen werden, zu berücksichtigen.
Für das Tier-2-Citrix-ADC sind keine Konfigurationsänderungen erforderlich.
Unten ist eine Beispielkonfiguration für das Tier-1-Citrix-ADC aufgeführt.
enable feature lb rewrite
add lb vserver tier-1-lb <protocol> <IP> <port>
add service tier-2-lb-svc <tier-2-vserver-IP> <tier-2-vserver-protocol> <tier-2-vserver-port>
bind lb vserver tier-1-lb tier-2-lb-svc
add rewrite action rewrite_http_header replace_all http.RES.full_Header "\"SameSite=None; Secure; path=/\"" -search "regex(re!(path=/\\; SameSite)|(path=/)!)"
add rewrite policy append_samesite_cookie "http.RES.HEADER(\"Set-Cookie\").EXISTS" rewrite_http_header
bind lb vserver tier-1-lb -policyname append_samesite_cookie -priority 10 -type RESPONSEHinweis: Dies sollte auch dann funktionieren, wenn der Back-End-Server kein eigenes Cookie enthält.
Letzte Aktualisierung: Samstag-25.1.2020 – 20:15
Version: 1.0
Die Fixes sind für alle Citrix ADC/Gateway Virtual Appliances (VPX, und Citrix ADC Service Delivery Appliances (SDX) verfügbar.
Seit Freitag ebenfalls verfügbar:
Alle Versionen können unter diesem Link heruntergeladen werden: