Skoči na vsebino

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Objavljeno: 21.7.2023

Povzetek

Citrix je izdal varnostne popravke za več ranljivosti v NetScaler ADC (prej Citrix ADC) in NetScaler Gateway (prej Citrix Gateway). Kritična ranljivost z oznako CVE-2023-3519 omogoča neavtenticiranemu uporabniku oddaljeno zaganjanje poljubne kode. Ranljivost se je izrabljala v posameznih napadih že pred izdajo popravkov.

Opis

Citrix je 18.7.2023 izdal obvestilo o več ranljivostih v NetScaler ADC in NetScaler Gateway:

  • CVE-2023-3466 (omogoča izvajanje XSS; CVSS 8,3)
  • CVE-2023-3467 (omogoča eskalacijo privilegijev do administratorskega/root račun; CVSS 8)
  • CVE-2023-3519 (omogoča oddaljeno izvajanje kode brez avtentikacije; CVSS 9,8)

CVE-2023-3466 je možno izkoristiti na način, da žrtev, ki je v istem omrežju kot NSIP, klikne na posebej prirejeno povezavo, preko katere se lahko v spletni vmesnik injecira napadalčeva koda.

CVE-2023-3467 omogoča eskalacijo privilegijev do root uporabnika, pri čemer napadalec potrebuje predhodni dostop do NSIP ali SNIP.

Najbolj kritična je ranljivost CVE-2023-3519, ki omogoča oddaljeno izvajanje poljubne kode na sistemu brez avtentikacije, kar lahko predstavlja popolno zlorabo sistema. Predpogoj za izrabo ranljivosti je, da je sistem konfiguiran kot Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ali AAA virtualni strežnik. Po podatkih proizvajalca se je ta raljivost že izrabljala napadih na posamezne sisteme.

Ranljivi sistemi

Ranljive so sledeče verzije sistemov, ki jih upravljajo sami uporabniki (customer-managed)::

  • NetScaler ADC in NetScaler Gateway 13.1 pred 13.1-49.13 
  • NetScaler ADC in NetScaler Gateway 13.0 pred 13.0-91.13 
  • NetScaler ADC 13.1-FIPS pred 13.1-37.159
  • NetScaler ADC 12.1-FIPS pred 12.1-55.297
  • NetScaler ADC 12.1-NDcPP pred 12.1-55.297

Ukrepi

Proizvajalec je že izdal uradne popravke ranljivosti.

Glede na dejstvo, da se je ranljivost izkoriščala v napadih že pred popravkov s strani proizvajalca, upravljavcem sistemov priporočamo takojšnjo namestitev popravkov, ter podrobnejše monitiriranje sistemov za morebitnimi znaki zlorabe. Namestitev popravkov ne sanira posledic morebitne predhodne zlorabe.

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na podporo proizvajalca.

Zunanje povezave:

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več