Nach Angaben von WatchTowr verlief die Entwicklung in kurzen Schritten: Am Freitag registrierte das Unternehmen erste aktive Erkundungsversuche gegen verwundbare NetScaler-Instanzen, am Sonntag bestätigte es dann den Beginn der aktiven Ausnutzung. Hinweise deuteten darauf hin, dass Angriffe gegen anfällige NetScaler-Systeme spätestens seit dem 27. März liefen.
Die CVE umfasst laut der Sicherheitsfirma mehrere Fälle von Speicher-Überlesen (Memory Overread), die sich mit präparierten Anfragen ausnutzen lassen, um sensiblen Speicher aus der Anwendung abzuziehen. In der Art der Ausnutzung ähnelt der Fehler demnach CitrixBleed2: In einer bösartigen Anfrage muss ein bestimmter Parameter vorhanden sein – allerdings ohne Wert und ohne das Zeichen “=”.
“Ein ungepatchtes beziehungsweise verwundbares Citrix NetScaler prüft fälschlicherweise nur, ob der Parameter vorhanden ist, bevor es auf den zugehörigen Puffer der Variablen zugreift, statt zu prüfen, ob auch zugehörige Daten vorhanden sind”, erläutert das Unternehmen.
Der fehlende Wert in der Anfrage führt dazu, dass nicht mehr genutzter Speicher offengelegt wird. Da dieser Speicher dynamisch ist, liefert dieselbe Anfrage bei mehrfacher Wiederholung jeweils unterschiedliche Informationen.
Nach eigenen Angaben hat WatchTowr diesen Weg genutzt, um die Preisgabe sensibler Daten zu demonstrieren, indem es die ID einer authentifizierten administrativen Sitzung auslas. “Einfacher ausgedrückt: Wir sind nun die (völlig legitimen) Administratoren einer angegriffenen Citrix-NetScaler-Appliance. Setzen Sie sie in Ihren Browser, Ihre Automatisierung, Ihr LLM ein – und demokratisieren Sie den Fernzugriff für die ganze Welt”, merkt die Firma an.
