Skoči na vsebino

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Objavljeno: 21.7.2023

Povzetek

Citrix je izdal varnostne popravke za več ranljivosti v NetScaler ADC (prej Citrix ADC) in NetScaler Gateway (prej Citrix Gateway). Kritična ranljivost z oznako CVE-2023-3519 omogoča neavtenticiranemu uporabniku oddaljeno zaganjanje poljubne kode. Ranljivost se je izrabljala v posameznih napadih že pred izdajo popravkov.

Opis

Citrix je 18.7.2023 izdal obvestilo o več ranljivostih v NetScaler ADC in NetScaler Gateway:

  • CVE-2023-3466 (omogoča izvajanje XSS; CVSS 8,3)
  • CVE-2023-3467 (omogoča eskalacijo privilegijev do administratorskega/root račun; CVSS 8)
  • CVE-2023-3519 (omogoča oddaljeno izvajanje kode brez avtentikacije; CVSS 9,8)

CVE-2023-3466 je možno izkoristiti na način, da žrtev, ki je v istem omrežju kot NSIP, klikne na posebej prirejeno povezavo, preko katere se lahko v spletni vmesnik injecira napadalčeva koda.

CVE-2023-3467 omogoča eskalacijo privilegijev do root uporabnika, pri čemer napadalec potrebuje predhodni dostop do NSIP ali SNIP.

Najbolj kritična je ranljivost CVE-2023-3519, ki omogoča oddaljeno izvajanje poljubne kode na sistemu brez avtentikacije, kar lahko predstavlja popolno zlorabo sistema. Predpogoj za izrabo ranljivosti je, da je sistem konfiguiran kot Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ali AAA virtualni strežnik. Po podatkih proizvajalca se je ta raljivost že izrabljala napadih na posamezne sisteme.

Ranljivi sistemi

Ranljive so sledeče verzije sistemov, ki jih upravljajo sami uporabniki (customer-managed)::

  • NetScaler ADC in NetScaler Gateway 13.1 pred 13.1-49.13 
  • NetScaler ADC in NetScaler Gateway 13.0 pred 13.0-91.13 
  • NetScaler ADC 13.1-FIPS pred 13.1-37.159
  • NetScaler ADC 12.1-FIPS pred 12.1-55.297
  • NetScaler ADC 12.1-NDcPP pred 12.1-55.297

Ukrepi

Proizvajalec je že izdal uradne popravke ranljivosti.

Glede na dejstvo, da se je ranljivost izkoriščala v napadih že pred popravkov s strani proizvajalca, upravljavcem sistemov priporočamo takojšnjo namestitev popravkov, ter podrobnejše monitiriranje sistemov za morebitnimi znaki zlorabe. Namestitev popravkov ne sanira posledic morebitne predhodne zlorabe.

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na podporo proizvajalca.

Zunanje povezave:

Preberite tudi

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Ivanti je obvestil o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu.
Več

SI-CERT 2023-06 / Zlorabe Cisco IOS XE naprav

Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.
Več