Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Kriittinen haavoittuvuus Citrix Netscaler Gateway ja ADC -ohjelmistoissa

Haavoittuvuus11/2023CVSS 9.8CVE-2023-3519 (Citrix-tiedote) (Ulkoinen linkki)

Julkaistu

Citrix on julkaissut tietoturvapäivityksiä korjatakseen yhden kriittisen (CVE-2023-3519) ja kaksi vakavaa haavoittuvuutta Citrix Netscaler ADC - ja Gateway -tuotteissaan. Citrix kehottaa kyseisten tuotteiden järjestelmänvalvojia päivittämään tuotteiden ohjelmistoversiot uusimpiin versioihin viipymättä. Haavoittuvuuksien hyväksikäyttöä on jo havaittu.

Julkaistut haavoittuvuudet koskevat organisaation itsensä ylläpitämiä Citrix Netscaler ADC ja Gateway -ohjelmistoja. Citrix-managed cloud services tai Citrix-managed Adaptive Authentication -palvelut eivät ole haavoittuvia. Netscaler ADC ja Gateway -ohjelmistoja kutsuttiin aiemmin Citrix ADC ja Gateway -nimillä.

Haavoittuvuuksista kriittisin (CVE-2023-3519) mahdollistaa hyökkääjälle etänä suoritettavat komennot kohdepalvelimelle. Haavoittuvuus vaikuttaa laitteisiin, jotka toimivat yhdyskäytävänä (VPN virtual server, ICA Proxy, CVPN, RDP Proxy tai AAA virtual server). Haavoittuvuutta on jo käytetty hyväksi.

Päivitykset korjasivat myös kaksi vakavaa haavoittuvuutta CVE-2023-3466 ja CVE-2023-3467.

Haavoittuvuus koskee organisaatioita, joilla kyseisiä tuotteita on käytössä. 

 

Päivitys 1.8.2023: Rapid7 julkaisi haavoittuvuuden havainnollistavan esimerkkikoodin. 

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

NetScaler ADC ja NetScaler Gateway 13.1 ennen versiota 13.1-49.13 
NetScaler ADC ja NetScaler Gateway 13.0 ennen versiota 13.0-91.13 
NetScaler ADC 13.1-FIPS ennen versiota 13.1-37.159
NetScaler ADC 12.1-FIPS ennen versiota 12.1-55.297
NetScaler ADC 12.1-NDcPP ennen versiota 12.1-55.297

Lisäksi: NetScaler ADC ja NetScaler Gateway versio 12.1 ei enää ole tuettu. Kyseinen versio ei vastaanota korjauksia haavoittuvuuksiin ja on syytä päivittää uudempaan versioon.

Mistä on kysymys?

Päivitä seuraaviin versioihin: 
NetScaler ADC ja NetScaler Gateway 13.1-49.13  ja uudemmat
NetScaler ADC ja NetScaler Gateway 13.0-91.13  ja uudemmat 13.0-versiot 
NetScaler ADC 13.1-FIPS 13.1-37.159 ja 13.1-FIPS uudemmat versiot
NetScaler ADC 12.1-FIPS 12.1-55.297 ja 12.1-FIPS  uudemmat versiot
NetScaler ADC 12.1-NDcPP 12.1-55.297 ja 12.1-NDcPP uudemmat versiot

Citrixin haavoittuvuustiedote (Ulkoinen linkki)
Rapid7 Haavoittuvuuden havainnollistava esimerkkikoodi (Ulkoinen linkki)