У NetScaler ADC і NetScaler Gateway, раніше відомих як Citrix ADC і Citrix Gateway, виявлено дві вразливості, які впливають на шість підтримуваних версій.
Ця вразливість, відстежувана як CVE-2023-6548, потребує доступу до NSIP, CLIP або SNIP із доступом до інтерфейсу керування, де, отримавши ці привілеї, загрозливий суб’єкт може автентифікувати віддалене виконання коду в інтерфейсі керування пристрою. Ця вразливість оцінюється як середній ступінь серйозності CVSS 5.5 за 10-бальною шкалою. Друга вразливість, CVE-2023-6549, є проблемою відмови в обслуговуванні (DoS), і пристрій повинен мати віртуальний сервер AAA або бути налаштованим як шлюз; йому присвоєно високий рейтинг CVSS 8.2. Обидва ці недоліки використовувалися в дикій природі, але на даний момент Citrix не поділився подробицями.
Citrix рекомендує, щоб для боротьби з CVE-2023-6548, який впливає на інтерфейси керування, «мережевий трафік до інтерфейсу керування пристрою [повинен бути] відокремлений, фізично чи логічно, від звичайного мережевого трафіку. Крім того, ми рекомендуємо не відкривати інтерфейс керування в Інтернеті».
Оскільки мали місце випадки використання цих пристроїв, Cloud Software Group рекомендує постраждалим клієнтам установити оновлені версії цих інтерфейсів для зачеплених пристроїв, зокрема:
-
NetScaler ADC і NetScaler Gateway 14.1-12.35 і новіші версії
-
NetScaler ADC і NetScaler Gateway 13.1-51.15 і новіші версії 13.1
-
NetScaler ADC і NetScaler Gateway 13.0-92.21 і новіші версії 13.0
-
NetScaler ADC 13.1-FIPS 13.1-37.176 і новіші версії 13.1-FIPS
-
NetScaler ADC 12.1-FIPS 12.1-55.302 і новіші версії 12.1-FIPS
-
NetScaler ADC 12.1-NDcPP 12.1-55.302 і новіші версії 12.1-NDcPP
Тільки минулого місяця, Citrix виправила критичну помилку, CVE-2023-4966 (придуманий CitrixBleed), що активно використовувалося зловмисниками, але на думку дослідників Tenable, ці дві нові вразливості не матимуть такого значного впливу. Тим не менш, користувачі повинні пом’якшити та застосувати патчі до своїх мереж якомога швидше.
Citrix повідомляє, що сповіщає клієнтів і торгових партнерів про будь-які потенційні проблеми, які можуть виникнути через ці вразливості, через свій бюлетень у своєму Центрі знань Citrix на своєму веб-сайті. Якщо клієнтам потрібна підтримка чи допомога, вони можуть звернутися до них Технічна підтримка Citrix.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/citrix-discovers-two-vulnerabilities-both-exploited-in-the-wild
- : має
- :є
- : ні
- :де
- 12
- 13
- 14
- 15%
- 302
- 35%
- 7
- 8
- a
- AAA
- МЕНЮ
- доступ
- актори
- доповнення
- постраждалих
- зачіпає
- an
- та
- будь-який
- техніка
- Застосовувати
- ЕСТЬ
- виникати
- AS
- Допомога
- At
- перевіряти справжність
- BE
- було
- обидва
- бюлетені
- але
- by
- CAN
- Центр
- Канал
- Коло
- хмара
- код
- придуманий
- боротьби з
- налаштувати
- може
- критичний
- Клієнти
- деталі
- пристрій
- виявляє
- do
- DOS
- два
- або
- виконання
- експлуатація
- експлуатований
- недоліки
- для
- раніше
- знайдений
- від
- набирає
- шлюз
- даний
- Group
- Мати
- сильно
- Високий
- HTTPS
- ICON
- if
- Impact
- Вплив
- in
- У тому числі
- встановлювати
- інтерфейс
- Інтерфейси
- інтернет
- питання
- питання
- IT
- ЙОГО
- JPG
- знання
- відомий
- останній
- пізніше
- управління
- Може..
- середа
- місяць
- повинен
- Необхідність
- потреби
- мережу
- мережевий трафік
- мереж
- Нові
- немає
- нормальний
- сталося
- of
- on
- or
- з
- партнери
- Фізично
- plato
- Інформація про дані Платона
- PlatoData
- точка
- потенціал
- привілеї
- номінальний
- рейтинг
- досягати
- рекомендувати
- рекомендований
- рекомендує
- Релізи
- віддалений
- Звіти
- s
- шкала
- рахунок
- другий
- сервер
- строгість
- загальні
- Повинен
- значний
- SIX
- Софтвер
- Скоро
- Як і раніше
- підтримка
- Підтриманий
- T
- технічний
- Що
- Команда
- їх
- Ці
- вони
- це
- загроза
- актори загроз
- через
- до
- трафік
- два
- оновлений
- користувачі
- Віртуальний
- Уразливості
- вразливість
- було
- we
- веб-сайт
- який
- Wild
- з
- Виграв
- ви
- зефірнет