1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Perl-Injection: Citrix-Geräte mit…

Ganz so heiß ist es nicht

  1. Beitrag
  1. Thema

Ganz so heiß ist es nicht

Autor: 1st1 09.01.20 - 20:26

Wer fix ist, hat, die vorgschlagenen Änderungen von Citrix schon umgesetzt, damit ist die Ausnutzung der Lücke schon erheblich schwerer.

Aber um das Riskiko abzuschätzen, muss man erstmal verstehen, wie so ein Netscaler funktioniert, und wie die Netzwerkinfrastruktur drumgerum aussieht. Das Webinterface, mit dem man übers Internet kommuniziert, ist eine Art virtuelle Maschine, die aus Failover-Gründen auf mindestens 2 Netscalern parallel läuft, einer passiv, einer aktiv. Ein Durchbrechen auf die physischen (oder virtualisierten) Netscaler ist daraus nicht möglich. Das heißt, wenn man es tatsächlich schafft, auf den Netscaler einzubrechen und da Code auszuführen, kann man schon einiges machen, aber den Netscaler an sich zu administrieren geht von da nicht.

Desweiteren werden Netscaler, die als VPN- oder Accessgateway für eine Citrix-Terminalsercver genutzt werden, in mit ihren intern Netzwerkschnittstellen in ein, besser zwei DMZ verteilt gehängt, Management in ein DMZ, die interne Netzwerkverbindung des virtuellen Anmelde-Webinterface bzw VPN-Gateway in ein anderes DMZ. Im Fall von VPN kann das schon kritisch sein, denn von hier sollen ja VPN-Clients ins interne Netz rein kommen. Im Fall von Webinterface für eine Citrix-Terminalserver-Farm ist es aber eher harmlos, denn hier reicht es, von der virtuelle Appliance HTTPS und ICA hin zu den Citrix-Terminalservern und zum Citrix-Storefront-Server auf zu machen. In dem Fall kommt man nicht wirklich weiter, solange man keine gültigen Anmeldeinformationen hat, und das wird wegen der üblichen Zweifaktor-Authentifikation per Username+Passwort+Pin+RSA-Code schon schwierig. Nach meiner Erfahrung werden die meisten Netscaler als Access-Gateway für eine CItrix-Terminalserver-Farm genutzt, VPN kommt eher selten zum Einsatz.


Neues Thema Ansicht wechseln


Thema
 

Ganz so heiß ist es nicht

1st1 | 09.01.20 - 20:26
 

Ausführbare injizierte Files

M.P. | 10.01.20 - 07:02
 

Re: Ausführbare injizierte Files

1st1 | 10.01.20 - 09:58
 

Re: Ganz so heiß ist es nicht

Recruit | 10.01.20 - 07:10
 

Re: Ganz so heiß ist es nicht

1st1 | 10.01.20 - 09:56
 

Re: Ganz so heiß ist es nicht

hayabusa | 10.01.20 - 20:06
 

Re: Ganz so heiß ist es nicht

Unwichtig | 14.01.20 - 12:02

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Simovative GmbH, München
  2. über grinnberg GmbH, Raum Düsseldorf
  3. Landeshauptstadt Stuttgart, Stuttgart
  4. Schwarz Dienstleistung KG, Raum Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-67%) 19,99€
  2. 39,99€ (PS4), 39,77€ (Xbox One), 39,71€ (Switch)
  3. 23,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Workflows: Wenn Digitalisierung aus 2 Papierseiten 20 macht
Workflows
Wenn Digitalisierung aus 2 Papierseiten 20 macht

Die Digitalisierung von Prozessen scheitert selten an der Technik. Oft ist es Unwissenheit über wichtige Grundregeln, die Projekte nach hinten losgehen lässt - ein wichtiges Change-Modell hilft dagegen.
Ein Erfahrungsbericht von Markus Kammermeier

  1. Digitalisierung Aber das Faxgerät muss bleiben!
  2. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  3. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"

Dreams im Test: Bastelwastel im Traumiversum
Dreams im Test
Bastelwastel im Traumiversum

Bereits mit Little Big Planet hat das Entwicklerstudio Media Molecule eine Kombination aus Spiel und Editor produziert, nun geht es mit Dreams noch ein paar Schritte weiter. Mit dem PS4-Titel muss man sich fast schon anstrengen, um nicht schöne Eigenkreationen zu erträumen.
Ein Test von Peter Steinlechner

  1. Ausdiskutiert Sony schließt das Playstation-Forum
  2. Sony Absatz der Playstation 4 geht weiter zurück
  3. PS4-Rücktasten-Ansatzstück im Test Tuning für den Dualshock 4

Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
Login-Dienste
Wer von der Klarnamenpflicht profitieren könnte

Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
Eine Analyse von Friedhelm Greis

  1. Europäische Netzpolitik Die Rückkehr des Axel Voss
  2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

  1. Wikileaks: Worum es im Fall Assange nun geht
    Wikileaks
    Worum es im Fall Assange nun geht

    Geheimnisverrat, Leben in der Isolation, Anklage in den USA, Foltervorwürfe: Die Auslieferungsanhörung von Wikileaks-Gründer Julian Assange beginnt. Im Artikel beantworten wir die wichtigsten Fragen.

  2. Zahlungsabwickler: Protest gegen Massenentlassungen bei Paypal Deutschland
    Zahlungsabwickler
    Protest gegen Massenentlassungen bei Paypal Deutschland

    Die Beschäftigten von Paypal Deutschland wollen den Abbau von über 300 Arbeitsplätzen nicht hinnehmen. Die Jobs sollen an andere Standorte oder an externe Partner gehen.

  3. DSGVO: Iren sollen Facebook an EU-Datenschützer abgeben
    DSGVO
    Iren sollen Facebook an EU-Datenschützer abgeben

    Bei der irischen Datenschutzbehörde laufen seit 2018 elf Untersuchungen gegen Facebook. Dass noch keine Entscheidungen gefallen sind, bemängeln Politiker und Datenschützer gleichermaßen.


  1. 18:08

  2. 18:01

  3. 17:07

  4. 16:18

  5. 15:59

  6. 14:36

  7. 14:14

  8. 13:47