Kriittinen haavoittuvuus Citrix Gateway ja Citrix ADC -ohjelmistoissa

Haavoittuvuutta hyväksikäyttämällä on mahdollista suorittaa mielivaltaisia komentoja etänä. Haavoittuvuutta hyväksikäytetään aktiivisesti, joten päivittäminen on erityisen tärkeää.

Haavoittuvuus koskee itse ylläpidettyjä Citrix ADC ja Citrix Gateway ohjelmistoja. Citrix-managed cloud services tai Citrix-managed Adaptive Authentication -palvelut eivät ole haavoittuvia.

Haavoittuvuus koskee ainoastaan sellaisia järjestelmiä, joissa SAML SP tai SAML IdP on käytössä.

Ohjelmistojen ylläpitäjä pystyy selvittämään onko SAML SP tai SAML IdP otettu käyttöön etsimällä Citrixin ns.conf-tiedostosta seuraavia rivejä.

"add authentication samlaction" - SAML SP on käytössä

TAI

"add authentication samlIdpProfile" - SAML IdP on käytössä

Mikäli kumpi tahansa näistä on käytössä ja kyseessä on Citrix Gatewayn tai Citrix ADC:n haavoittuva versio, on päivitykset syytä asentaa välittömästi.

Haavoittuvuuden kohde

Citrix ADC ja Citrix Gateway 13.0 ennen versiota 13.0-58.32

Citrix ADC ja Citrix Gateway 12.1 ennen versiota 12.1-65.25

Citrix ADC 12.1-FIPS ennen versiota 12.1-55.291

Citrix ADC 12.1-NDcPP ennen versiota 12.1-55.291

Mistä on kysymys?

Citrix ADC ja Citrix Gateway 13.0-58.32 ja sitä uudemmat

Citrix ADC ja Citrix Gateway 12.1-65.25 ja sitä uudemmat 12.1 -versiosarjan ohjelmistot

Citrix ADC 12.1-FIPS 12.1-55.291 ja sitä uudemmat 12.1-FIPS  -versiosarjan ohjelmistot

Citrix ADC 12.1-NDcPP 12.1-55.291 ja sitä uudemmat 12.1-NDcPP -versiosarjan ohjelmistot

Mitä voin tehdä?

Citrixin haavoittuvuustiedote (ulkoinen linkki)

Citrixin blogipostaus haavoittuvuudesta (ulkoinen linkki)

Haavoittuvuuteen liittyvää taustatietoa ja ohjeita ympäristön tarkastamiseen Yhdysvaltojen NSA:lta (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.