Skoči na vsebino

SI-CERT 2022-07 / Ranljivost Citrix ADC in Citrix Gateway

Objavljeno: 14.12.2022

Povzetek

Citrix Gateway in Citrix ADC (Application Delivery Controller) vsebujeta kritično ranljivost, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Uradni popravki so že na voljo. Ranljivost se je že izrabljala v posameznih napadih pred izdajo popravkov.

Opis

Citrix je 13.12.2022 izdal obvestilo o ranljivosti (oznaka CVE-2022-27518) Citrix ADC and Citrix Gateway in izdaji popravkov. Izraba ranljivosti napadalcem omogoča oddaljeno izvajanje poljubne kode na sistemu, kar lahko predstavlja popolno zlorabo sistema. Predpogoj za izrabo ranljivosti je, da je sistem nastavljen kot SAML SP ali SAML IdP. V zvezi z ranljivostjo je Nacionalna varnostna agencija ZDA (NSA) izdala dokument, v katerem so navedene neatere od tehnik, taktik in procedur (TTP) napadalcev, ki so predmetno ranljivost izrabljali v omejenih napadih na posamezne tarče že pred izdajo popravkov.

Ranljivi sistemi

Ranljive so spodnje verzije naprav Citrix ADC in Gateway, ki jih upravljajo sami uporabniki (customer-managed):

Citrix ADC in Citrix Gateway 13.0 pred 13.0-58.32
Citrix ADC in Citrix Gateway 12.1 pred 12.1-65.25
Citrix ADC 12.1-FIPS pred 12.1-55.291
Citrix ADC 12.1-NDcPP pred 12.1-55.291

Citrix ADC in Citrix Gateway ver. 13.1 niso ranljivi.

Ukrepi

Proizvajalec je že izdal uradne popravke ranljivosti:

Citrix ADC in Citrix Gateway 13.0-58.32
Citrix ADC in Citrix Gateway 12.1-65.25
Citrix ADC 12.1-FIPS 12.1-55.291
Citrix ADC 12.1-NDcPP 12.1-55.291

Upravljalci sistemov lahko preverijo, ali so naprave nastavljene kot SAMP SP ali SAML IdP, tako da preverijo vsebuno konfiguracijske datoteke ns.conf. Če konfiguracija vsebuje "add authentication samlAction", je naprava nastavljena kot SAMP SP, če vsebuje "add authentication samlIdPProfile" pa je nastavljena kot SAML IdP.

Zaznavanje izrabe ranljivosti, IOC

Po podatkih proizvajalca so bile izrabe ranljivosti že zaznane v posameznih napadih. Ker je je ranljivosti izkoriščala še predno so bili na voljo popravki, upravljalcem sistemov priporočamo izvedbo standardnih ukrepov odzivanja na incidente, pri čemer si lahko pomagajo z dokumentom NSA, v katerem so navedeni predlogi za iskanje indikatorjev zlorabe.

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na podporo proizvajalca.

Zunanje povezave

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več