Компания Citrix предупреждает пользователей о ряде критических ошибок безопасности в NetScaler ADC и NetScaler Gateway, которая, по их словам, активно используется в дикой природе (ITW).
Отслеживаемая как CVE-2023-3519 (оценка CVSS 9.8) уязвимость связана с возможностью внедрения вредоносного кода, которая может привести к удалённому выполнению произвольных команд неавторизованным злоумышленником, поясняет Securitylab. Уязвимость была устранена в последней версии программного обеспечения Citrix, однако она всё ещё затрагивает следующие версии софта:
Компания не раскрыла дополнительных подробностей о данной уязвимости. Однако сейчас достоверно известно, что для успешной эксплуатации CVE-2023-3519 требуется, чтобы устройство было настроено как шлюз (виртуальный сервер VPN, ICA-прокси, CVPN, RDP-прокси) или виртуальный сервер авторизации и учёта (AAA).
Наряду с CVE-2023-3519 также были выявлены и устранены две другие ошибки:
Клиентам NetScaler ADC и NetScaler Gateway версии 12.1 рекомендуется обновить свои устройства до поддерживаемой версии, чтобы уменьшить потенциальные угрозы.