Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Vakavia haavoittuvuuksia Citrix ADC, Citrix Gateway sekä Citrix SD-WAN WANOP -tuotteissa

Haavoittuvuus22/2020

Citrix Application Delivery Controller (ADC), Citrix Gateway sekä Citrix SD-WAN WANOP -tuotteista on löydetty 11 haavoittuvuutta. Vakavimmat haavoittuvuudet voivat mahdollistaa palvelunestotilan, tai ohittaa palvelun hallintakäyttöliittymän kirjautumisen.

Citrix on havainnut useita haavoittuvuuksia laitteissa ja ohjelmistoissaan. Löydetyt 11 haavoittuvuutta voivat mahdollistaa palvelunestotilan, tai ohittaa palvelun hallintakäyttöliittymän kirjautumisen. Muiden haavoittuvuuksien avulla hyökkääjä voi nostaa oikeustasojaan, tehdä cross-site scripting -hyökkäyksiä ja saada oikeudettomasti tietoja.

Haavoittuvuustiedote on julkaistu 7.7.2020. Tiedote koskee Citrix Application Delivery Controller (ADC) ja Citrix Gateway -tuotteita, sekä Citrix SD-WAN WANOP -laitteita ja ohjelmistoja.

Citrix Application Delivery Controller tunnettiin aiemmin myös NetScaler ADC -nimellä. Citrix Gateway -tuote tunnettiin aiemmin NetScaler Gateway -nimellä.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

  • Citrix ADC ja Citrix Gateway versio 13.0
  • Citrix ADC ja NetScaler Gateway versio 12.1
  • Citrix ADC ja NetScaler Gateway versio 12.0
  • Citrix ADC ja NetScaler Gateway versio 11.1
  • Citrix NetScaler ADC ja NetScaler Gateway versio 10.5
  • Citrix SD-WAN WANOP 11.1
  • Citrix SD-WAN WANOP 11.0
  • Citrix SD-WAN WANOP 10.2
  • Citrix Gateway Plug-in for Linux
  • Citrix SD-WAN WANOP -ohjelmisto ja laitemallit 4000-WO, 4100-WO, 5000-WO ja 5100-WO

Ratkaisu- ja rajoitusmahdollisuudet

Citrix suosittelee ohjeistuksessaan, ettei hallintakäyttöliittymää (NSIP) avattaisi lainkaan internet-rajapintaan https://docs.citrix.com/en-us/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html (Ulkoinen linkki).

Korjaavat päivitykset voi ladata osoitteista: https://www.citrix.com/downloads/citrix-adc/ (Ulkoinen linkki) ja https://www.citrix.com/downloads/citrix-gateway/ (Ulkoinen linkki) 

Lisätietoja

Valmistajan haavoittuvuustiedote:

Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance Security Update