Две уязвимости были обнаружены в NetScaler ADC и NetScaler Gateway, ранее известных как Citrix ADC и Citrix Gateway, и затрагивают шесть поддерживаемых версий.
Эта уязвимость, отслеживаемая как CVE-2023-6548, требует доступа к NSIP, CLIP или SNIP с доступом к интерфейсу управления, где, получив эти привилегии, злоумышленник может аутентифицировать удаленное выполнение кода на интерфейсе управления устройства. Эта уязвимость имеет средний уровень серьезности по шкале CVSS, равный 5.5 по 10-балльной шкале. Вторая уязвимость, CVE-2023-6549, представляет собой проблему отказа в обслуживании (DoS), и устройство должно иметь виртуальный сервер AAA или быть настроено как шлюз; ему присвоен высокий рейтинг CVSS - 8.2. Обе эти уязвимости уже использовались в реальных условиях, но на данный момент Citrix не предоставила никаких подробностей.
Citrix рекомендовала, чтобы для борьбы с CVE-2023-6548, которая влияет на интерфейсы управления, «сетевой трафик к интерфейсу управления устройства [должен быть] отделен физически или логически от обычного сетевого трафика. Кроме того, мы рекомендуем не предоставлять интерфейс управления доступу к Интернету».
Поскольку эксплуатация этих устройств имела место, Cloud Software Group рекомендует затронутым клиентам установить обновленные версии этих интерфейсов для затронутых устройств, в том числе:
-
NetScaler ADC и NetScaler Gateway 14.1–12.35 и более поздние версии
-
NetScaler ADC и NetScaler Gateway 13.1–51.15 и более поздние версии 13.1
-
NetScaler ADC и NetScaler Gateway 13.0–92.21 и более поздние версии 13.0
-
NetScaler ADC 13.1-FIPS 13.1-37.176 и более поздние версии 13.1-FIPS
-
NetScaler ADC 12.1-FIPS 12.1-55.302 и более поздние версии 12.1-FIPS
-
NetScaler ADC 12.1-NDcPP 12.1-55.302 и более поздние версии 12.1-NDcPP
Только в прошлом месяце, Citrix исправил критическую ошибку, CVE-2023-4966 (придуманный CitrixBleed), этим активно пользовались злоумышленники, но по мнению исследователей Tenable, эти две новые уязвимости не окажут такого значительного воздействия. Тем не менее, пользователи должны смягчение последствий и применение исправлений в свои сети, как только смогут.
Citrix сообщает, что предупреждает клиентов и торговых партнеров о любых потенциальных проблемах, которые могут возникнуть из-за этих уязвимостей, через бюллетень в Центре знаний Citrix на своем веб-сайте. Если клиентам потребуется поддержка или помощь, они могут обратиться к Техническая поддержка Citrix.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/citrix-discovers-two-vulnerabilities-both-exploited-in-the-wild
- :имеет
- :является
- :нет
- :куда
- 12
- 13
- 14
- 15%
- 302
- 35%
- 7
- 8
- a
- AAA
- О нас
- доступ
- актеры
- дополнение
- пострадавших
- затрагивающий
- an
- и
- любой
- техника
- Применить
- МЫ
- возникать
- AS
- Помощь
- At
- проверять подлинность
- BE
- было
- изоферменты печени
- бюллетень
- но
- by
- CAN
- Центр
- Канал
- Circle
- облако
- код
- придумано
- борьбы с
- настроить
- может
- критической
- Клиенты
- подробнее
- устройство
- Обнаруживает
- do
- DOS
- два
- или
- выполнение
- эксплуатация
- Эксплуатируемый
- недостатки
- Что касается
- раньше
- найденный
- от
- получение
- шлюз
- данный
- группы
- Есть
- сильно
- High
- HTTPS
- ICON
- if
- Влияние
- Воздействие
- in
- В том числе
- устанавливать
- Интерфейс
- интерфейсы
- Интернет
- вопрос
- вопросы
- IT
- ЕГО
- JPG
- знания
- известный
- Фамилия
- новее
- управление
- Май..
- средний
- Месяц
- должен
- Необходимость
- потребности
- сеть
- сетевой трафик
- сетей
- Новые
- нет
- "обычные"
- произошло
- of
- on
- or
- внешний
- партнеры
- Физически
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- потенциал
- привилегии
- номинальный
- рейтинг
- достигать
- рекомендовать
- Управление по борьбе с наркотиками (DEA)
- рекомендует
- публикации
- удаленные
- Отчеты
- s
- Шкала
- Гол
- Во-вторых
- сервер
- строгость
- общие
- должен
- значительный
- ШЕСТЬ
- Software
- Скоро
- По-прежнему
- поддержка
- Поддержанный
- T
- Технический
- который
- Ассоциация
- их
- Эти
- они
- этой
- угроза
- актеры угрозы
- Через
- в
- трафик
- два
- обновление
- пользователей
- Виртуальный
- Уязвимости
- уязвимость
- законопроект
- we
- Вебсайт
- который
- Дикий
- Выиграл
- являетесь
- зефирнет