Application Delivery Controller (ADC), Gateway, and SD-WAN WANOP Appliance

Die Schwachstelle betrifft die Citrix-Produkte Application Delivery Controller (ADC) und Gateway sowie mehrere SD-WAN-WANOP-Appliance-Modelle des Herstellers. Im Kern handelt es sich um einen Directory-Traversal-Fehler: Eine unzureichende Prüfung von Pfadangaben erlaubt es, aus dem vorgesehenen Verzeichnis auszubrechen und auf Dateien außerhalb des eigentlich freigegebenen Bereichs zuzugreifen. In der Folge kann ein Angreifer aus der Ferne und ohne gültige Anmeldedaten eigenen Code auf dem betroffenen System zur Ausführung bringen und so die Kontrolle über das Gerät erlangen. Da es sich bei ADC, Gateway und den WANOP-Appliances um Netzwerk- und Zugangskomponenten handelt, die typischerweise am Übergang zum Internet stehen und direkt erreichbar sind, ist der Angriffsweg unmittelbar exponiert. Eine Übernahme betrifft nicht nur das einzelne Gerät, sondern potenziell den gesamten darüber abgewickelten Datenverkehr und die dahinterliegenden Zugänge.