Objavljeno: 21.7.2023
Povzetek
Citrix je izdal varnostne popravke za več ranljivosti v NetScaler ADC (prej Citrix ADC) in NetScaler Gateway (prej Citrix Gateway). Kritična ranljivost z oznako CVE-2023-3519 omogoča neavtenticiranemu uporabniku oddaljeno zaganjanje poljubne kode. Ranljivost se je izrabljala v posameznih napadih že pred izdajo popravkov.
Opis
Citrix je 18.7.2023 izdal obvestilo o več ranljivostih v NetScaler ADC in NetScaler Gateway:
- CVE-2023-3466 (omogoča izvajanje XSS; CVSS 8,3)
- CVE-2023-3467 (omogoča eskalacijo privilegijev do administratorskega/root račun; CVSS 8)
- CVE-2023-3519 (omogoča oddaljeno izvajanje kode brez avtentikacije; CVSS 9,8)
CVE-2023-3466 je možno izkoristiti na način, da žrtev, ki je v istem omrežju kot NSIP, klikne na posebej prirejeno povezavo, preko katere se lahko v spletni vmesnik injecira napadalčeva koda.
CVE-2023-3467 omogoča eskalacijo privilegijev do root uporabnika, pri čemer napadalec potrebuje predhodni dostop do NSIP ali SNIP.
Najbolj kritična je ranljivost CVE-2023-3519, ki omogoča oddaljeno izvajanje poljubne kode na sistemu brez avtentikacije, kar lahko predstavlja popolno zlorabo sistema. Predpogoj za izrabo ranljivosti je, da je sistem konfiguiran kot Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ali AAA virtualni strežnik. Po podatkih proizvajalca se je ta raljivost že izrabljala napadih na posamezne sisteme.
Ranljivi sistemi
Ranljive so sledeče verzije sistemov, ki jih upravljajo sami uporabniki (customer-managed)::
- NetScaler ADC in NetScaler Gateway 13.1 pred 13.1-49.13
- NetScaler ADC in NetScaler Gateway 13.0 pred 13.0-91.13
- NetScaler ADC 13.1-FIPS pred 13.1-37.159
- NetScaler ADC 12.1-FIPS pred 12.1-55.297
- NetScaler ADC 12.1-NDcPP pred 12.1-55.297
Ukrepi
Proizvajalec je že izdal uradne popravke ranljivosti.
Glede na dejstvo, da se je ranljivost izkoriščala v napadih že pred popravkov s strani proizvajalca, upravljavcem sistemov priporočamo takojšnjo namestitev popravkov, ter podrobnejše monitiriranje sistemov za morebitnimi znaki zlorabe. Namestitev popravkov ne sanira posledic morebitne predhodne zlorabe.
V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na podporo proizvajalca.
Zunanje povezave:
- https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3466
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3467
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3519