Skoči na vsebino

SI-CERT 2022-07 / Ranljivost Citrix ADC in Citrix Gateway

Objavljeno: 14.12.2022

Povzetek

Citrix Gateway in Citrix ADC (Application Delivery Controller) vsebujeta kritično ranljivost, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Uradni popravki so že na voljo. Ranljivost se je že izrabljala v posameznih napadih pred izdajo popravkov.

Opis

Citrix je 13.12.2022 izdal obvestilo o ranljivosti (oznaka CVE-2022-27518) Citrix ADC and Citrix Gateway in izdaji popravkov. Izraba ranljivosti napadalcem omogoča oddaljeno izvajanje poljubne kode na sistemu, kar lahko predstavlja popolno zlorabo sistema. Predpogoj za izrabo ranljivosti je, da je sistem nastavljen kot SAML SP ali SAML IdP. V zvezi z ranljivostjo je Nacionalna varnostna agencija ZDA (NSA) izdala dokument, v katerem so navedene neatere od tehnik, taktik in procedur (TTP) napadalcev, ki so predmetno ranljivost izrabljali v omejenih napadih na posamezne tarče že pred izdajo popravkov.

Ranljivi sistemi

Ranljive so spodnje verzije naprav Citrix ADC in Gateway, ki jih upravljajo sami uporabniki (customer-managed):

Citrix ADC in Citrix Gateway 13.0 pred 13.0-58.32
Citrix ADC in Citrix Gateway 12.1 pred 12.1-65.25
Citrix ADC 12.1-FIPS pred 12.1-55.291
Citrix ADC 12.1-NDcPP pred 12.1-55.291

Citrix ADC in Citrix Gateway ver. 13.1 niso ranljivi.

Ukrepi

Proizvajalec je že izdal uradne popravke ranljivosti:

Citrix ADC in Citrix Gateway 13.0-58.32
Citrix ADC in Citrix Gateway 12.1-65.25
Citrix ADC 12.1-FIPS 12.1-55.291
Citrix ADC 12.1-NDcPP 12.1-55.291

Upravljalci sistemov lahko preverijo, ali so naprave nastavljene kot SAMP SP ali SAML IdP, tako da preverijo vsebuno konfiguracijske datoteke ns.conf. Če konfiguracija vsebuje "add authentication samlAction", je naprava nastavljena kot SAMP SP, če vsebuje "add authentication samlIdPProfile" pa je nastavljena kot SAML IdP.

Zaznavanje izrabe ranljivosti, IOC

Po podatkih proizvajalca so bile izrabe ranljivosti že zaznane v posameznih napadih. Ker je je ranljivosti izkoriščala še predno so bili na voljo popravki, upravljalcem sistemov priporočamo izvedbo standardnih ukrepov odzivanja na incidente, pri čemer si lahko pomagajo z dokumentom NSA, v katerem so navedeni predlogi za iskanje indikatorjev zlorabe.

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na podporo proizvajalca.

Zunanje povezave

Preberite tudi

SI-CERT 2023-01 / Uhajanje NTLM poverilnic preko Outlook ranljivosti

Microsoft je zaznal aktivno izkoriščanje ranljivosti, ki napadalcu prek poštnega sporočila naslovljenega prejemniku, ki uporablja Outlook, omogoča krajo NTLM zgoščene vrednosti prejemnikovega gesla za prijavo v Windows
Več

SI-CERT 2022-06 / Ranljivost FortiOS SSL-VPN

Fortinet je izdal obvestilo o ranljivosti FortiOS SSL-VPN, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Popravki za ranljivost so bili izdani že v novembru 2022, ranljivost pa se je že izrabljala v napadih.
Več

SI-CERT 2022-05 / Ranljivosti OpenSSL 3 knjižnice

OpenSSL knjižnica različic 3.0.0 do 3.0.6 vsebuje ranljivosti pri preverjanjih X.509 digitalnih potrdil, ki lahko povzročijo izpad delovanja (denial of service) ali morda tudi zagon programske kode na daljavo (remote code execution). Zaenkrat še ni podatkov o izkoriščanju ranljivosti, vseeno svetujemo nadgradnjo na različico 3.0.7.
Več