Kriittinen haavoittuvuus Citrix Gateway ja Citrix ADC -tuotteissa

Citrix on julkaissut tietoturvapäivityksiä korjatakseen kriittisen haavoittuvuuden (CVE-2022-27510) Citrix Application Delivery Controller (ADC) - ja Citrix Gateway -tuotteissaan. Citrix kehottaa kyseisten tuotteiden järjestelmänvalvojia päivittämään tuotteiden ohjelmistoversiot uusimpiin versioihin viipymättä.

Kriittisin haavoittuvuus (CVE-2022-27510) vaikuttaa laitteisiin, jotka toimivat yhdyskäytävänä (käyttävät SSL VPN -toimintoa), tai jotka on otettu käyttöön ICA-välityspalvelimena (ICA Proxy) ja jossa tunnistautuminen on käytössä. Haavoittuvuuden onnistunut hyväksikäyttö mahdollistaa hyökkääjälle pääsyn laitteeseen ja tunnistautumisen ohittamisen. Päivityspaketti korjaa myös kaksi muuta haavoittuvuutta tuotteissa.

Haavoittuvuuden kohde

Haavoittuvuus koskee:

Citrix ADC ja Citrix Gateway 13.1 versiota 13.1-33.47 aiemmat versiot
Citrix ADC ja Citrix Gateway 13.0 versiota 13.0-88.12 aiemmat versiot
Citrix ADC ja Citrix Gateway 12.1 versiota 12.1.65.21 aiemmat versiot
Citrix ADC 12.1-FIPS versiota 12.1-55.289 aiemmat versiot
Citrix ADC 12.1-NDcPP versiota 12.1-55.289 aiemmat versiot

Mistä on kysymys?

Päivitä tuote versioon:

Citrix ADC ja Citrix Gateway 13.1-33.47 tai uudemmat versiot
Citrix ADC ja Citrix Gateway 13.0-88.12 ja 13.0 uudemmat versiot
Citrix ADC ja Citrix Gateway 12.1-65.21 ja 12.1 uudemmat versiot
Citrix ADC 12.1-FIPS 12.1-55.289 ja 12.1-FIPS uudemmat versiot
Citrix ADC 12.1-NDcPP 12.1-55.289 ja 12.1-NDcPP uudemmat versiot

Mitä voin tehdä?

Lisätietoja: https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.