Varnostna obvestila / 14. 12. 2022

SI-CERT 2022-07 / Ranljivost Citrix ADC in Citrix Gateway

Objavljeno: 14.12.2022

Povzetek

Citrix Gateway in Citrix ADC (Application Delivery Controller) vsebujeta kritično ranljivost, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Uradni popravki so že na voljo. Ranljivost se je že izrabljala v posameznih napadih pred izdajo popravkov.

Opis

Citrix je 13.12.2022 izdal obvestilo o ranljivosti (oznaka CVE-2022-27518) Citrix ADC and Citrix Gateway in izdaji popravkov. Izraba ranljivosti napadalcem omogoča oddaljeno izvajanje poljubne kode na sistemu, kar lahko predstavlja popolno zlorabo sistema. Predpogoj za izrabo ranljivosti je, da je sistem nastavljen kot SAML SP ali SAML IdP. V zvezi z ranljivostjo je Nacionalna varnostna agencija ZDA (NSA) izdala dokument, v katerem so navedene neatere od tehnik, taktik in procedur (TTP) napadalcev, ki so predmetno ranljivost izrabljali v omejenih napadih na posamezne tarče že pred izdajo popravkov.

Ranljivi sistemi

Ranljive so spodnje verzije naprav Citrix ADC in Gateway, ki jih upravljajo sami uporabniki (customer-managed):

Citrix ADC in Citrix Gateway 13.0 pred 13.0-58.32
Citrix ADC in Citrix Gateway 12.1 pred 12.1-65.25
Citrix ADC 12.1-FIPS pred 12.1-55.291
Citrix ADC 12.1-NDcPP pred 12.1-55.291

Citrix ADC in Citrix Gateway ver. 13.1 niso ranljivi.

Ukrepi

Proizvajalec je že izdal uradne popravke ranljivosti:

Citrix ADC in Citrix Gateway 13.0-58.32
Citrix ADC in Citrix Gateway 12.1-65.25
Citrix ADC 12.1-FIPS 12.1-55.291
Citrix ADC 12.1-NDcPP 12.1-55.291

Upravljalci sistemov lahko preverijo, ali so naprave nastavljene kot SAMP SP ali SAML IdP, tako da preverijo vsebuno konfiguracijske datoteke ns.conf. Če konfiguracija vsebuje "add authentication samlAction", je naprava nastavljena kot SAMP SP, če vsebuje "add authentication samlIdPProfile" pa je nastavljena kot SAML IdP.

Zaznavanje izrabe ranljivosti, IOC

Po podatkih proizvajalca so bile izrabe ranljivosti že zaznane v posameznih napadih. Ker je je ranljivosti izkoriščala še predno so bili na voljo popravki, upravljalcem sistemov priporočamo izvedbo standardnih ukrepov odzivanja na incidente, pri čemer si lahko pomagajo z dokumentom NSA, v katerem so navedeni predlogi za iskanje indikatorjev zlorabe.

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na podporo proizvajalca.

Zunanje povezave

Preberite tudi

Varnostna obvestila / 25. 7. 2023

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.

Več

Varnostna obvestila / 21. 7. 2023

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Ranljivost CVE-2023-3519 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.

Več

Varnostna obvestila / 14. 6. 2023

SI-CERT 2023-03 / Ranljivost FortiOS in FortiProxy

Ranljivost CVE-2023-27997 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.

Več