Vakavia haavoittuvuuksia Citrix ADC, Citrix Gateway sekä Citrix SD-WAN WANOP -tuotteissa

Citrix Application Delivery Controller (ADC), Citrix Gateway sekä Citrix SD-WAN WANOP -tuotteista on löydetty 11 haavoittuvuutta. Vakavimmat haavoittuvuudet voivat mahdollistaa palvelunestotilan, tai ohittaa palvelun hallintakäyttöliittymän kirjautumisen.

Citrix on havainnut useita haavoittuvuuksia laitteissa ja ohjelmistoissaan. Löydetyt 11 haavoittuvuutta voivat mahdollistaa palvelunestotilan, tai ohittaa palvelun hallintakäyttöliittymän kirjautumisen. Muiden haavoittuvuuksien avulla hyökkääjä voi nostaa oikeustasojaan, tehdä cross-site scripting -hyökkäyksiä ja saada oikeudettomasti tietoja.

Haavoittuvuustiedote on julkaistu 7.7.2020. Tiedote koskee Citrix Application Delivery Controller (ADC) ja Citrix Gateway -tuotteita, sekä Citrix SD-WAN WANOP -laitteita ja ohjelmistoja.

Citrix Application Delivery Controller tunnettiin aiemmin myös NetScaler ADC -nimellä. Citrix Gateway -tuote tunnettiin aiemmin NetScaler Gateway -nimellä.

Haavoittuvuuden kohde

Citrix ADC ja Citrix Gateway versio 13.0
Citrix ADC ja NetScaler Gateway versio 12.1
Citrix ADC ja NetScaler Gateway versio 12.0
Citrix ADC ja NetScaler Gateway versio 11.1
Citrix NetScaler ADC ja NetScaler Gateway versio 10.5
Citrix SD-WAN WANOP 11.1
Citrix SD-WAN WANOP 11.0
Citrix SD-WAN WANOP 10.2
Citrix Gateway Plug-in for Linux
Citrix SD-WAN WANOP -ohjelmisto ja laitemallit 4000-WO, 4100-WO, 5000-WO ja 5100-WO

Mistä on kysymys?

Citrix suosittelee ohjeistuksessaan, ettei hallintakäyttöliittymää (NSIP) avattaisi lainkaan internet-rajapintaan https://docs.citrix.com/en-us/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html.

Korjaavat päivitykset voi ladata osoitteista: https://www.citrix.com/downloads/citrix-adc/ ja https://www.citrix.com/downloads/citrix-gateway/

Mitä voin tehdä?

Valmistajan haavoittuvuustiedote:

Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance Security Update

https://support.citrix.com/article/CTX276688

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.