Kriittistä Citrix Netscaler ja ADC -haavoittuvuutta käytetty hyväksi | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittistä Citrix Netscaler ja ADC -haavoittuvuutta käytetty hyväksi

19. lokakuuta 2023 klo 10.54, päivitetty 19. lokakuuta 2023 klo 11.20

Citrix julkaisi 10.10.2023 päivityksen haavoittuvuuteen CVE-2023-4966, jota on hyväksikäytetty jo elokuusta asti. Organisaatioiden tulee päivittää tuote viimeistään nyt ja tarkastaa, ettei hyväksikäyttöä ole tapahtunut.

Mandiant kertoo tiedotteessaan 17.10. haavoittuvuuden hyväksikäytön mahdollistavan hyökkääjälle autentikoidun session kaappaamisen, joka tarkoittaa esimerkiksi monivaiheisen tunnistautumisen ohittamista. Päivityksen asentaminen ei välttämättä poista hyökkääjän muodostamaa sessiota, joten kyseisen haavoittuvuuden vuoksi organisaatioiden on suositeltavaa tutkia palvelinta tarkemmin - vaikka päivitys olisikin jo tehty. Mandiantin tiedoteessa linkataan myös heidän dokumenttiin, jossa ohjeistetaan organisaatioita haavoittuvuuden tarkastelun osalta.

Julkaistut haavoittuvuudet koskevat organisaation itsensä ylläpitämiä Citrix Netscaler ADC ja Gateway -ohjelmistoja. Citrix-managed cloud services tai Citrix-managed Adaptive Authentication -palvelut eivät ole haavoittuvia. Netscaler ADC ja Gateway -ohjelmistoja kutsuttiin aiemmin Citrix ADC ja Gateway -nimillä.

Haavoittuvuus koskee organisaatioita, joilla kyseisiä tuotteita on käytössä. 

Haavoittuvuuden kohde

Haavoittuvat versiot
NetScaler ADC ja NetScaler Gateway 14.1 ennen versiota  14.1-8.50
NetScaler ADC ja NetScaler Gateway 13.1 ennen versiota 13.1-49.15
NetScaler ADC ja NetScaler Gateway 13.0 ennen versiota 13.0-92.19
NetScaler ADC 13.1-FIPS ennen versiota 13.1-37.164
NetScaler ADC 12.1-FIPS ennen versiota 12.1-55.300
NetScaler ADC 12.1-NDcPP ennen versiota 12.1-55.300

Huomiona: NetScaler ADC and NetScaler Gateway versio 12.1 ei ole enää tuettu. Kyseiseen versioon ei korjata tätä haavoittuvuutta ja se on syytä päivittää uudempaan versioon.

Mistä on kysymys?

Päivitä Netscaler ja ADC uusimpiin versioihin.

 

Citrixin tiedote
Bleeping Computer
Mandiant

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

19. lokakuuta 2023 klo 11.20 Päivitetty Mandiantilta lisäys heidän ohjeestaan.