Ну сколько можно? Клиентам Citrix угрожает очередная дыра в безопасности

Ну сколько можно? Клиентам Citrix угрожает очередная дыра в безопасности

Новые уязвимости способны привести к DoS и раскрыть информацию на уязвимых устройствах.

image

Продукты NetScaler ADC и NetScaler Gateway разработки компании Citrix подвержены паре новых критических уязвимостей, которые позволяют раскрывать конфиденциальную информацию на уязвимых устройствах и приводить к отказу в обслуживании (Denial of Service, DoS-атака).

Первая уязвимость, ведущая к раскрытию информации, зарегистрирована под идентификатором CVE-2023-4966 с рейтингом CVSS 9.4. Она может быть применена удалённо без повышенных привилегий или сложного взаимодействия.

Тем не менее, существует определённое условие для эксплуатации. Чтобы устройство было уязвимым, оно должно быть настроено как шлюз (виртуальный сервер VPN, ICA-прокси, CVPN, RDP-прокси) или виртуальный сервер AAA.

Хотя использование этой ошибки может привести к «раскрытию конфиденциальной информации», поставщик не предоставил никаких подробностей о том, какая именно информация раскрывается.

Второй уязвимостью, раскрытой в том же бюллетене безопасности, является CVE-2023-4967 , уязвимость высокой степени серьёзности (оценка CVSS 8.2), требующая тех же предварительных условий, что и предыдущая уязвимость. CVE-2023-4967 потенциально может вызвать отказ в обслуживании на уязвимых устройствах.

Затронутыми версиями продуктов Citrix являются:

  • NetScaler ADC и NetScaler Gateway 14.1 до версии 14.1-8.50
  • NetScaler ADC и NetScaler Gateway 13.1 до версии 13.1-49.15
  • NetScaler ADC и NetScaler Gateway 13.0 до версии 13.0-92.19
  • NetScaler ADC 13.1-FIPS до версии 13.1-37.164
  • NetScaler ADC 12.1-FIPS до версии 12.1-55.300
  • NetScaler ADC 12.1-NDcPP до версии 12.1-55.300

Citrix рекомендует обновить программное обеспечение до последних защищённых версий. На этот раз компания не предоставила рекомендаций по смягчению угрозы или обходных путей защиты.

Также отмечается, что версия продуктов Citrix 12.1 достигла даты завершения поддержки, поэтому всем пользователям рекомендуется обновиться до свежей, активно поддерживаемой версии.

Критические недостатки в продуктах Citrix пользуются большим спросом у хакеров, поскольку эти продукты используют крупные организации с ценными активами.

Недавним примером такого использования является CVE-2023-3519 , критическая уязвимость удалённого выполнения кода, которую Citrix хоть исправила в июле этого года, она всё равно активно эксплуатируется киберпреступниками против клиентов с устаревшими версиями ПО.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение