Varnostna obvestila / 21. 7. 2023

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Objavljeno: 21.7.2023

Povzetek

Citrix je izdal varnostne popravke za več ranljivosti v NetScaler ADC (prej Citrix ADC) in NetScaler Gateway (prej Citrix Gateway). Kritična ranljivost z oznako CVE-2023-3519 omogoča neavtenticiranemu uporabniku oddaljeno zaganjanje poljubne kode. Ranljivost se je izrabljala v posameznih napadih že pred izdajo popravkov.

Opis

Citrix je 18.7.2023 izdal obvestilo o več ranljivostih v NetScaler ADC in NetScaler Gateway:

CVE-2023-3466 (omogoča izvajanje XSS; CVSS 8,3)
CVE-2023-3467 (omogoča eskalacijo privilegijev do administratorskega/root račun; CVSS 8)
CVE-2023-3519 (omogoča oddaljeno izvajanje kode brez avtentikacije; CVSS 9,8)

CVE-2023-3466 je možno izkoristiti na način, da žrtev, ki je v istem omrežju kot NSIP, klikne na posebej prirejeno povezavo, preko katere se lahko v spletni vmesnik injecira napadalčeva koda.

CVE-2023-3467 omogoča eskalacijo privilegijev do root uporabnika, pri čemer napadalec potrebuje predhodni dostop do NSIP ali SNIP.

Najbolj kritična je ranljivost CVE-2023-3519, ki omogoča oddaljeno izvajanje poljubne kode na sistemu brez avtentikacije, kar lahko predstavlja popolno zlorabo sistema. Predpogoj za izrabo ranljivosti je, da je sistem konfiguiran kot Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ali AAA virtualni strežnik. Po podatkih proizvajalca se je ta raljivost že izrabljala napadih na posamezne sisteme.

Ranljivi sistemi

Ranljive so sledeče verzije sistemov, ki jih upravljajo sami uporabniki (customer-managed)::

NetScaler ADC in NetScaler Gateway 13.1 pred 13.1-49.13
NetScaler ADC in NetScaler Gateway 13.0 pred 13.0-91.13
NetScaler ADC 13.1-FIPS pred 13.1-37.159
NetScaler ADC 12.1-FIPS pred 12.1-55.297
NetScaler ADC 12.1-NDcPP pred 12.1-55.297

Ukrepi

Proizvajalec je že izdal uradne popravke ranljivosti.

Glede na dejstvo, da se je ranljivost izkoriščala v napadih že pred popravkov s strani proizvajalca, upravljavcem sistemov priporočamo takojšnjo namestitev popravkov, ter podrobnejše monitiriranje sistemov za morebitnimi znaki zlorabe. Namestitev popravkov ne sanira posledic morebitne predhodne zlorabe.

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na podporo proizvajalca.

Zunanje povezave:

Preberite tudi

Varnostna obvestila / 7. 3. 2025

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.

Več

Varnostna obvestila / 17. 2. 2025

SI-CERT 2025-02 / Okužbe s kombinacijo tipk v lažnih CAPTCHA preverjanjih

Zlorabljena spletna stran zahteva izpolnitev lažnega CAPTCHA obrazca prek kombinacije na tipkovnici Win + R, Ctrl + V in Enter. V primeru izvedbe teh pritiskov na tipkovnici, pride do okužbe računalnika

Več

Varnostna obvestila / 16. 1. 2025

SI-CERT 2025-01 / Prevzemi in kreiranje Telegram računov brez vednosti uporabnikov telefonskih številk

Že nekaj mesecev obravnavamo primere ustvarjanja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade.

Več