Application Delivery Controller (ADC), Gateway, and SD-WAN WANOP Appliance

Die Schwachstelle betrifft die Citrix-Produkte Application Delivery Controller (ADC) und Gateway sowie die SD-WAN-WANOP-Appliances. Ursache ist eine unzureichende Prüfung von Eingaben (Improper Input Validation): Die Geräte verarbeiten bestimmte Eingaben, ohne sie ausreichend zu validieren. Dadurch können bereits angemeldete Benutzer mit geringen Rechten an Informationen gelangen, die ihnen eigentlich nicht zustehen. Die Offenlegung ist nach Herstellerangaben begrenzt, betrifft also nicht beliebige Daten, sondern einen eingeschränkten Umfang. Voraussetzung für den Angriff ist ein – wenn auch niedrig privilegierter – Zugang zum System; ein völlig unbeteiligter Außenstehender ohne jegliche Berechtigung kann die Lücke also nicht unmittelbar ausnutzen. Da es sich bei ADC, Gateway und den SD-WAN-Appliances um zentrale Komponenten für Netzwerkzugriff und Anwendungsbereitstellung handelt, sind sie ein lohnendes Ziel, und auch eine begrenzte Informationspreisgabe kann weitere Angriffsschritte erleichtern.