Vakavia haavoittuvuuksia Citrix ADC, Citrix Gateway sekä Citrix SD-WAN WANOP -tuotteissa
Haavoittuvuus22/2020
Citrix Application Delivery Controller (ADC), Citrix Gateway sekä Citrix SD-WAN WANOP -tuotteista on löydetty 11 haavoittuvuutta. Vakavimmat haavoittuvuudet voivat mahdollistaa palvelunestotilan, tai ohittaa palvelun hallintakäyttöliittymän kirjautumisen.
Citrix on havainnut useita haavoittuvuuksia laitteissa ja ohjelmistoissaan. Löydetyt 11 haavoittuvuutta voivat mahdollistaa palvelunestotilan, tai ohittaa palvelun hallintakäyttöliittymän kirjautumisen. Muiden haavoittuvuuksien avulla hyökkääjä voi nostaa oikeustasojaan, tehdä cross-site scripting -hyökkäyksiä ja saada oikeudettomasti tietoja.
Haavoittuvuustiedote on julkaistu 7.7.2020. Tiedote koskee Citrix Application Delivery Controller (ADC) ja Citrix Gateway -tuotteita, sekä Citrix SD-WAN WANOP -laitteita ja ohjelmistoja.
Citrix Application Delivery Controller tunnettiin aiemmin myös NetScaler ADC -nimellä. Citrix Gateway -tuote tunnettiin aiemmin NetScaler Gateway -nimellä.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Palvelunestohyökkäys
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot
- Citrix ADC ja Citrix Gateway versio 13.0
- Citrix ADC ja NetScaler Gateway versio 12.1
- Citrix ADC ja NetScaler Gateway versio 12.0
- Citrix ADC ja NetScaler Gateway versio 11.1
- Citrix NetScaler ADC ja NetScaler Gateway versio 10.5
- Citrix SD-WAN WANOP 11.1
- Citrix SD-WAN WANOP 11.0
- Citrix SD-WAN WANOP 10.2
- Citrix Gateway Plug-in for Linux
- Citrix SD-WAN WANOP -ohjelmisto ja laitemallit 4000-WO, 4100-WO, 5000-WO ja 5100-WO
Ratkaisu- ja rajoitusmahdollisuudet
Citrix suosittelee ohjeistuksessaan, ettei hallintakäyttöliittymää (NSIP) avattaisi lainkaan internet-rajapintaan https://docs.citrix.com/en-us/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html (Ulkoinen linkki).
Korjaavat päivitykset voi ladata osoitteista: https://www.citrix.com/downloads/citrix-adc/ (Ulkoinen linkki) ja https://www.citrix.com/downloads/citrix-gateway/ (Ulkoinen linkki)
Lisätietoja
Valmistajan haavoittuvuustiedote:
Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance Security Update