Citrix залатала брешь в своем популярном продукте, но в системах клиентов уже успели обжиться хакеры

Три уязвимости, одна критическая

Компания Citrix известила
пользователей о существовании критической уязвимости в ее продуктах, которой
киберзлоумышленники начали активно пользоваться еще до того, как о ней узнал
вендор.

Уязвимость CVE-2023-3519 (9,8 балла по
шкале угроз CVSS) затрагивает ряд вариантов NetScaler ADC (Application Delivery Controller — контроллер доставки приложений) и NetScaler Gateway версий 12 и 13. Всего
затронуты шесть версий.

Об уязвимости известно
только, что она допускает инъекцию кода, и, как следствие, запуск произвольного
кода без авторизации.

Других деталей Citrix пока что не
раскрывает, ограничиваясь констатацией факта, что уязвимость срабатывает на
незащищенных устройствах. В публикации The Hacker News указывается, что устройство должно быть настроено
в режим шлюза (виртуального VPN-сервера, ICA Proxy, CVPN, RDP Proxy и т. д.) или в режиме виртуального сервера
авторизации и учета (AAA).

Фото: © wolterke / Фотобанк Фотодженика

Citrix устранила критическую уязвимость нулевого дня в продуктах NetScaler

Помимо критической уязвимости
выявлены еще две: CVE-2023-3466 и CVE-2023-3467, с индексами угрозы 8,3 и 8,0 балла, соответственно.

Первая из них связана с
некорректной валидацией вводимых значений, что может приводить к XSS-атаке (атаке межсайтовогj кросс-скриптинга). Вторая допускает повышение привилегий до уровня nsroot (администратора) в
связи с некорректным управлением правами в контексте устройства.

Citrix
выпустил необходимые исправления. Уязвимость отсутствует в версиях NetScalerADC/Gateway 13.1-49.13 и далее, NetScalerADC/Gateway 13.0.91-49.13 и далее, NetScalerADC 13.1-FIPS 13.1-37.159, NetScalerADC 12.1-FIPS 12.1-55.297 и далее, NetScalerADC 12.1-NDcPP 12.1-55.297 и далее.

Патчи для NetScalerADC/Gateway версии 12.1 компания решила не выпускать: этот
продукт уже снят с поддержки, поэтому его обладателям предложено обновиться до
более новых версий.

За завесой тайны

Citrix
не стала раскрывать подробности об атаках и их целях.

Какие вопросы топ-менеджер должен задать своему CISO о защищенности его компании
Безопасность

«Подобная секретность может
быть связана с двумя вещами: либо у самого вендора не так много информации,
либо, и это более вероятно, технические подробности удерживаются, пока
значительная часть пользователей этих продуктов не установят обновления, — говорит
Анастасия Мельникова, директор по
информационной безопасности компании SEQ. — В свою очередь, это может свидетельствовать о
том, что эксплуатация этой критической уязвимости проста и незамысловата, а
значит речь идет о повышенных рисках».

Эксперт по сетевой
безопасности Флориан Рота (Florian Roth), сотрудник фирмы Nextron Systems утверждает, что
существует список индикаторов компрометации, указывающих на эксплуатацию данной
уязвимости. В нем упоминаются «веб-шелл PHP, двоичный файл SetUID и IP».

По словам Роты, непонятно,
почему Citrix до
сих пор не раскрыл этот список, поскольку создать эксплойт, используя только
эти данные, невозможно.

Тем не менее, Citrix до сих пор этот список
не опубличила. Возможно, информация была передана пострадавшим приватным
порядком.

Источник: https://www.cnews.ru/