Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Уязвимости в Citrix позволяют производить запуск произвольного кода

20/01/20

CitrixКритические уязвимости в разработках Citrix - Application Delivery Controller и Gateway - ставят под угрозу внутренние сети около 80 тыс. фирм по всему миру. Из-за этих ошибок у злоумышленников появляется возможность запуска произвольного кода на атакованных машинах.

Citrix Application Delivery Controller (ранее известный как Netscaler ADC) предназначен для балансировки нагрузки и мониторинга, в то время как Gateway обеспечивает возможность безопасного (по идее) удалённого доступа к внутренним корпоративным приложениям - и сетевым, и десктопным.

Citrix опубликовала бюллетень с предупреждением, что уязвимости в упомянутых службах позволяют потенциальным злоумышленникам производить запуск произвольного кода без какой-либо авторизации на устройстве.

По данным фирмы Positive Technologies, которая первой обнаружила «баги», уязвимости появились не позднее 2014 года и с тех пор присутствуют во всех версиях приложений. «Как минимум 80 тысяч компаний в 158 странах находятся под угрозой», - утверждают эксперты Positive.

Промежуточные контрмеры

Citrix опубликовал промежуточные рекомендации по защите от уязвимости. Предлагаемые меры сводятся к блокировке определённых SSL-запросов в VPN-сетях. По-видимому, именно в этих фрагментах кода и содержатся ключевые уязвимости.

- Рассматривать это как окончательное решение вопроса не представляется возможным: SSL VPN - это безопасный туннель в удалённую сеть, использующий защищённый протокол SSL, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Ограничения его функциональности могут лишать смысла само его использование. В то же время эксплуатация уязвимости обеспечивает хакерам «ковровую дорожку» во внутренние сети компаний, использующие Citrix ADC и Gateway.

Уязвимость получила индекс CVE-2019-19781, однако никаких подробностей о ней пока не опубликовано. Известно лишь, что уязвимыми являются версии Citrix ADC и Unified Gateway 10.5, 11.1, 12.0, 12.1 и 13.0.

Citrix обещает выпустить патчи в ближайшее время.

Темы:CitrixPositive Technologiesуязвимости

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...