Citrix NetScaler ADC i NetScaler Gateway su pod uticajem greške kritične ozbiljnosti koja omogućava otkrivanje osetljivih informacija sa ranjivih uređaja.
Greška je praćena kao CVE-2023-4966 i dobila je CVSS ocjenu 9,4, budući da se može daljinski iskoristiti bez zahtjeva visokih privilegija, interakcije korisnika ili visoke složenosti.
Međutim, postoji preduslov da uređaj bude konfigurisan kao Gateway (VPN virtuelni server, ICA Proxy, CVPN, RDP Proxy) ili AAA virtuelni server da bi bio ranjiv na napade.
Iako iskorištavanje propusta može dovesti do “otkrivanja osjetljivih informacija”, dobavljač nije pružio nikakve detalje o tome koje su informacije izložene.
Druga ranjivost otkrivena u istom biltenu je CVE-2023-4967, mana visoke ozbiljnosti (CVSS rezultat: 8,2) koja nosi iste preduslove, što potencijalno može uzrokovati uskraćivanje usluge (DoS) na ranjivim uređajima.
Zahvaćene verzije Citrix proizvoda su:
- NetScaler ADC i NetScaler Gateway 14.1 prije 14.1-8.50
- NetScaler ADC i NetScaler Gateway 13.1 prije 13.1-49.15
- NetScaler ADC i NetScaler Gateway 13.0 prije 13.0-92.19
- NetScaler ADC 13.1-FIPS prije 13.1-37.164
- NetScaler ADC 12.1-FIPS prije 12.1-55.300
- NetScaler ADC 12.1-NDcPP prije 12.1-55.300
Preporučena radnja je nadogradnja na fiksnu verziju koja implementira sigurnosna ažuriranja koja rješavaju ove dvije mane. Citrix ovog puta nije pružio savjete za ublažavanje ili zaobilazna rješenja.
„Cloud Software Group snažno apeluje na pogođene klijente NetScaler ADC-a i NetScaler Gateway-a da instaliraju relevantne ažurirane verzije NetScaler ADC-a i NetScaler Gateway-a što je prije moguće“, stoji u sigurnosnom biltenu Citrixa.
Ciljane verzije za nadogradnju su:
- NetScaler ADC i NetScaler Gateway 14.1-8.50 i noviji
- NetScaler ADC i NetScaler Gateway 13.1-49.15 i kasnija izdanja 13.1
- NetScaler ADC i NetScaler Gateway 13.0-92.19 i kasnija izdanja 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.164 i kasnija izdanja 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.300 i kasnija izdanja 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.300 i kasnija izdanja 12.1-NDcPP
Napominje se da je verzija 12.1 dostigla svoj kraj životnog vijeka (EOL) i da je Citrix više neće podržavati. Stoga se korisnicima preporučuje nadogradnja na novije, aktivno podržano izdanje.
Kritične greške u Citrix proizvodima su veoma tražene od strane hakera, jer velike organizacije sa vrijednom imovinom koriste ove uređaje.
Nedavni primjer takve eksploatacije je CVE-2023-3519, kritična greška u daljinskom izvršavanju koda koju je Citrix popravio kao nulti dan u julu 2023.
Ovaj nedostatak je trenutno pod aktivnom eksploatacijom brojnih sajber-kriminalaca koji koriste dostupne eksploatacije za postavljanje backdoor- a i krađu kredencijala.
Izvor: BleepingComputer