Описание
Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway) связана с недостаточным контролем ресурса в период его существования. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
Citrix Systems Inc.
Наименование ПО
Citrix Gateway
Citrix ADC
Версия ПО
от 12.1 до 12.1-65.25 (Citrix Gateway)
от 13.0 до 13.0-58.32 (Citrix Gateway)
от 12.1 до 12.1-55.291 (Citrix ADC)
от 12.1 до 12.1-65.25 (Citrix ADC)
от 13.0 до 13.0-58.32 (Citrix ADC)
Тип ПО
ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование многофакторной аутентификации в Citrix ADC;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа из внешних сетей (Интернет).
Устройство является уязвимым в случае наличия в файле ns.conf следующих команд:
add authentication samlAction
add authentication samlIdPProfile
Сигнатуры Yara-правил, используемые для выявления вредоносных программ, эксплуатирующих уязвимость:
rule tricklancer_a {
strings:
$str1 = "//var//log//ns.log" nocase ascii wide
$str2 = "//var//log//cron" nocase ascii wide
$str3 = "//var//log//auth.log" nocase ascii wide
$str4 = "//var//log//httpaccess-vpn.log" nocase ascii wide
$str5 = "//var//log//nsvpn.log" nocase ascii wide
$str6 = "TF:YYYYMMddhhmmss" nocase ascii wide
$str7 = "//var//log//lastlog" nocase ascii wide
$str8 = "clear_utmp" nocase ascii wide
$str9 = "clear_text_http" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_b {
strings:
$str1 = "nsppe" nocase ascii wide
$str2 = "pb_policy -h nothing" nocase ascii wide
$str3 = "pb_policy -d" nocase ascii wide
$str4 = "findProcessListByName" nocase ascii wide
$str5 = "restoreStateAndDetach" nocase ascii wide
$str6 = "checktargetsig" nocase ascii wide
$str7 = "DoInject" nocase ascii wide
$str8 = "DoUnInject" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_c {
strings:
$str1 = "is_path_traversal_or_vpns_attack_request" nocase ascii wide
$str2 = "ns_vpn_process_unauthenticated_request" nocase ascii wide
$str3 = "mmapshell" nocase ascii wide
$str4 = "DoUnInject" nocase ascii wide
$str5 = "CalcDistanse" nocase ascii wide
$str6 = "checkMyData" nocase ascii wide
$str7 = "vpn_location_url_len" nocase ascii wide
condition:
5 of ($str*)
}
Использование рекомендаций производителя:
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 96%
0.22959
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
EPSS
Процентиль: 96%
0.22959
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2