12.01.2018

Spectre/Meltdown unter Citrix

Nachdem uns das neue Jahr IT-technisch direkt eine große (Sicherheits-)Bombe beschert hat und die architektonisch bedingten Sicherheitslücken – Spectre und Meltdown – in diversen CPUs aller namhaften Hersteller in aller Munde sind, gilt es nun, die Missstände etwas näher zu beleuchten, gerade wenn es um Appliances geht, die in der täglichen Flutwelle an neuen Erkenntnissen, Angriffsszenarien und Benchmarks bezüglich Patches untergehen.

Die vermutlich kritischsten Produkte sind hier „größtenteils“ fein raus: Citrix NetScaler in jeglicher VPX- sowie MPX-Variante ist von den beiden Sicherheitslücken NICHT betroffen.

Dies liegt hauptsächlich daran, dass der NetScaler-Kernel sein eigenes OS ist und somit die ausnutzbaren Mechanismen nicht präsent sind. Allerdings sollte man, gerade was die VPX-Variante angeht, nicht vergessen, dass der zugrundeliegende Host davon ausgenommen ist. Wird NetScaler also beispielsweise auf einem ESXi mit anfälliger CPU gehostet, ist er natürlich angreifbar.

Ein anderer Punkt ist, dass das NetScaler-OS nicht für die breite Masse gedacht ist und somit der herkömmliche Weg, auf dem die bisher bekannten Angriffe ausgeführt werden, einfach nicht relevant für NetScaler ist.

Anders verhält sich dies für die SDX-Ausführung von Citrix NetScaler: Hier empfiehlt Citrix, nur NetScaler-Instanzen auf der SDX-Plattform auszurollen, bei denen die Admins vertrauenswürdig sind. Gleichzeitig sagt Citrix aber auch, dass kein korrumpierter Netzwerkverkehr möglich ist.

Den größten Patchbedarf wird wohl der von Citrix entwickelte Hypervisor XenServer haben: Dieser ist von den Sicherheitslücken betroffen und muss entsprechend mit Updates versorgt werden. Hierfür hat Citrix auch schon entsprechende Hotfixes bereitgestellt, welche je nach betriebener Version des XenServers hier zu finden sind: https://support.citrix.com/article/CTX231390

Einzig für die Version 7.0 scheint noch kein Patch bereitzustehen, diesen wird Citrix baldmöglichst nachreichen.

Einen detaillierten Überblick, wie Citrix Ihre Produkte bezüglich der Sicherheitslücken einschätzt, können Sie folgendem Link entnehmen: https://support.citrix.com/article/CTX231399

Jens Ostkamp
Consultant

Unsere Blogs