Kriittinen haavoittuvuus Citrix Netscaler Gateway ja ADC -ohjelmistoissa

Citrix on julkaissut tietoturvapäivityksiä korjatakseen yhden kriittisen (CVE-2023-3519) ja kaksi vakavaa haavoittuvuutta Citrix Netscaler ADC - ja Gateway -tuotteissaan. Citrix kehottaa kyseisten tuotteiden järjestelmänvalvojia päivittämään tuotteiden ohjelmistoversiot uusimpiin versioihin viipymättä. Haavoittuvuuksien hyväksikäyttöä on jo havaittu.

Julkaistut haavoittuvuudet koskevat organisaation itsensä ylläpitämiä Citrix Netscaler ADC ja Gateway -ohjelmistoja. Citrix-managed cloud services tai Citrix-managed Adaptive Authentication -palvelut eivät ole haavoittuvia. Netscaler ADC ja Gateway -ohjelmistoja kutsuttiin aiemmin Citrix ADC ja Gateway -nimillä.

Haavoittuvuuksista kriittisin (CVE-2023-3519) mahdollistaa hyökkääjälle etänä suoritettavat komennot kohdepalvelimelle. Haavoittuvuus vaikuttaa laitteisiin, jotka toimivat yhdyskäytävänä (VPN virtual server, ICA Proxy, CVPN, RDP Proxy tai AAA virtual server). Haavoittuvuutta on jo käytetty hyväksi.

Päivitykset korjasivat myös kaksi vakavaa haavoittuvuutta CVE-2023-3466 ja CVE-2023-3467.

Haavoittuvuus koskee organisaatioita, joilla kyseisiä tuotteita on käytössä.

Päivitys 1.8.2023: Rapid7 julkaisi haavoittuvuuden havainnollistavan esimerkkikoodin.

Haavoittuvuuden kohde

NetScaler ADC ja NetScaler Gateway 13.1 ennen versiota 13.1-49.13
NetScaler ADC ja NetScaler Gateway 13.0 ennen versiota 13.0-91.13
NetScaler ADC 13.1-FIPS ennen versiota 13.1-37.159
NetScaler ADC 12.1-FIPS ennen versiota 12.1-55.297
NetScaler ADC 12.1-NDcPP ennen versiota 12.1-55.297

Lisäksi: NetScaler ADC ja NetScaler Gateway versio 12.1 ei enää ole tuettu. Kyseinen versio ei vastaanota korjauksia haavoittuvuuksiin ja on syytä päivittää uudempaan versioon.

Mistä on kysymys?

Päivitä seuraaviin versioihin:
NetScaler ADC ja NetScaler Gateway 13.1-49.13 ja uudemmat
NetScaler ADC ja NetScaler Gateway 13.0-91.13 ja uudemmat 13.0-versiot
NetScaler ADC 13.1-FIPS 13.1-37.159 ja 13.1-FIPS uudemmat versiot
NetScaler ADC 12.1-FIPS 12.1-55.297 ja 12.1-FIPS uudemmat versiot
NetScaler ADC 12.1-NDcPP 12.1-55.297 ja 12.1-NDcPP uudemmat versiot

Citrixin haavoittuvuustiedote

Rapid7 Haavoittuvuuden havainnollistava esimerkkikoodi

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.