A Citrix felszólította ügyfeleit, hogy azonnal frissítsék az online elérhető Netscaler ADC és Gateway eszközöket két aktívan kihasználható zero day sebezhetőség ellen.
A két sérülékenység (CVE-2023-6548 és CVE-2023-6549 néven követhető) a Netscaler kezelőfelületét érinti, és a nem javított Netscaler példányokat távoli kódfuttatásnak, illetve szolgáltatásmegtagadási támadásoknak teszi ki.
A kódfuttatáshoz a támadóknak alacsony jogosultságú fiókokba kell bejelentkezniük és hozzáférésre van szükségük az NSIP, CLIP vagy SNIP kezelőfelülethez. Emellett gateway-ként (VPN, ICA Proxy, CVPN, RDP Proxy) vagy AAA virtuális szerverként kell konfigurálni ahhoz, hogy sebezhetőek legyenek a DoS támadásokkal szemben.
A vállalat szerint csak az ügyfelek által menedzselt NetScaler készülékeket érintik a sérülékenységek, míg a Citrix által menedzselt felhőszolgáltatások és Adaptive Authentication nem érintett.
A két nulladik napi sebezhetőség által érintett Netscaler termékverziók listája a következő:
- NetScaler ADC és NetScaler Gateway 14.1 14.1-12.35 előtti verziója
- NetScaler ADC és NetScaler Gateway 13.1 a 13.1-51.15 előtti verziója
- NetScaler ADC és NetScaler Gateway 13.0 13.0-92.21 előtti verziója
- NetScaler ADC 13.1-FIPS a 13.1-37.176 előtti verziója
- NetScaler ADC 12.1-FIPS 12.1-55.302 előtti verziója
- NetScaler ADC 12.1-NDcPP 12.1-55.302 előtti verziója
A Shadowserver fenyegetésfigyelő platform adatai szerint jelenleg valamivel több, mint 1500 Netscaler menedzsment interfész elérhető az interneten.
A Cloud Software Group nyomatékosan kéri a NetScaler ADC és NetScaler Gateway érintett ügyfeleit, hogy a lehető leghamarabb telepítsék a megfelelő verziókat.
Azoknak, akik még mindig a NetScaler ADC és NetScaler Gateway 12.1-es verziószámú, életciklusuk végét jelentő (EOL) szoftvert használják, szintén azt tanácsolták, hogy frissítsék azokat a még támogatás alatt álló verzióra.
Azoknak a rendszergazdáknak, akik nem tudják azonnal telepíteni a mai biztonsági frissítéseket, ajánlott blokkolniuk az érintett példányok felé irányuló hálózati forgalmat.
„A Cloud Software Group erősen ajánlja, hogy a készülék kezelőfelületére irányuló hálózati forgalmat fizikailag vagy logikailag különítsék el a normál hálózati forgalomtól. Ezen kívül azt javasoljuk, hogy a menedzsment interfészt ne lehessen a nyílt internet irányából elérni, ahogyan azt a biztonságos telepítési útmutatóban kifejtettük. Az ilyen jellegű kitettség megszüntetése nagymértékben csökkenti a probléma kihasználásának kockázatát.” – mondta Citrix.
Egy másik kritikus Netscaler hibát (CVE-2023-4966 – Citrix Bleed) októberben foltoztak be, de különböző csoportok augusztus óta kihasználják.
