Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Продукция Citrix подвергается активным хакерским атакам благодаря нескольким уязвимостям нулевого дня

20/07/23

citrix-software

Компания Citrix предупреждает пользователей о ряде критических ошибок безопасности в NetScaler ADC и NetScaler Gateway, которая, по их словам, активно используется в дикой природе (ITW).

Отслеживаемая как CVE-2023-3519 (оценка CVSS 9.8) уязвимость связана с возможностью внедрения вредоносного кода, которая может привести к удалённому выполнению произвольных команд неавторизованным злоумышленником, поясняет Securitylab. Уязвимость была устранена в последней версии программного обеспечения Citrix, однако она всё ещё затрагивает следующие версии софта:

  • NetScaler ADC и NetScaler Gateway 13.1 до 13.1-49.13;
  • NetScaler ADC и NetScaler Gateway 13.0 до 13.0-91.13;
  • NetScaler ADC и NetScaler Gateway версии 12.1 (срок поддержки истёк);
  • NetScaler ADC 13.1-FIPS до 13.1-37.159;
  • NetScaler ADC 12.1-FIPS до 12.1-55.297;
  • NetScaler ADC 12.1-NDcPP до 12.1-55.297.

Компания не раскрыла дополнительных подробностей о данной уязвимости. Однако сейчас достоверно известно, что для успешной эксплуатации CVE-2023-3519 требуется, чтобы устройство было настроено как шлюз (виртуальный сервер VPN, ICA-прокси, CVPN, RDP-прокси) или виртуальный сервер авторизации и учёта (AAA).

Наряду с CVE-2023-3519 также были выявлены и устранены две другие ошибки:

  • CVE-2023-3466 (оценка CVSS: 8.3) — уязвимость неправильной проверки входных данных, приводящая к отражённой атаке с использованием межсайтового скриптинга (XSS);
  • CVE-2023-3467 (оценка CVSS: 8.0) — уязвимость в неправильном управлении привилегиями, приводящая к повышению привилегий до root-администратора (nsroot).

Клиентам NetScaler ADC и NetScaler Gateway версии 12.1 рекомендуется обновить свои устройства до поддерживаемой версии, чтобы уменьшить потенциальные угрозы.

Темы:CitrixПреступления0Day-уязвимости
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...