Objavljeno: 14.12.2022
Povzetek
Citrix Gateway in Citrix ADC (Application Delivery Controller) vsebujeta kritično ranljivost, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Uradni popravki so že na voljo. Ranljivost se je že izrabljala v posameznih napadih pred izdajo popravkov.
Opis
Citrix je 13.12.2022 izdal obvestilo o ranljivosti (oznaka CVE-2022-27518) Citrix ADC and Citrix Gateway in izdaji popravkov. Izraba ranljivosti napadalcem omogoča oddaljeno izvajanje poljubne kode na sistemu, kar lahko predstavlja popolno zlorabo sistema. Predpogoj za izrabo ranljivosti je, da je sistem nastavljen kot SAML SP ali SAML IdP. V zvezi z ranljivostjo je Nacionalna varnostna agencija ZDA (NSA) izdala dokument, v katerem so navedene neatere od tehnik, taktik in procedur (TTP) napadalcev, ki so predmetno ranljivost izrabljali v omejenih napadih na posamezne tarče že pred izdajo popravkov.
Ranljivi sistemi
Ranljive so spodnje verzije naprav Citrix ADC in Gateway, ki jih upravljajo sami uporabniki (customer-managed):
Citrix ADC in Citrix Gateway 13.0 pred 13.0-58.32
Citrix ADC in Citrix Gateway 12.1 pred 12.1-65.25
Citrix ADC 12.1-FIPS pred 12.1-55.291
Citrix ADC 12.1-NDcPP pred 12.1-55.291
Citrix ADC in Citrix Gateway ver. 13.1 niso ranljivi.
Ukrepi
Proizvajalec je že izdal uradne popravke ranljivosti:
Citrix ADC in Citrix Gateway 13.0-58.32
Citrix ADC in Citrix Gateway 12.1-65.25
Citrix ADC 12.1-FIPS 12.1-55.291
Citrix ADC 12.1-NDcPP 12.1-55.291
Upravljalci sistemov lahko preverijo, ali so naprave nastavljene kot SAMP SP ali SAML IdP, tako da preverijo vsebuno konfiguracijske datoteke ns.conf. Če konfiguracija vsebuje "add authentication samlAction", je naprava nastavljena kot SAMP SP, če vsebuje "add authentication samlIdPProfile" pa je nastavljena kot SAML IdP.
Zaznavanje izrabe ranljivosti, IOC
Po podatkih proizvajalca so bile izrabe ranljivosti že zaznane v posameznih napadih. Ker je je ranljivosti izkoriščala še predno so bili na voljo popravki, upravljalcem sistemov priporočamo izvedbo standardnih ukrepov odzivanja na incidente, pri čemer si lahko pomagajo z dokumentom NSA, v katerem so navedeni predlogi za iskanje indikatorjev zlorabe.
V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na podporo proizvajalca.