Xakep #305. Многошаговые SQL-инъекции
Разработчики Citrix предупредили клиентов о критической уязвимости (CVE-2023-3519) в NetScaler ADC и NetScaler Gateway (ранее Citrix ADC и Gateway), для которой уже существуют эксплоиты. Компания «настоятельно призывает» безотлагательно установить обновленные версии.
Судя по всему, это та же самая уязвимость, о которой ранее сообщалось на хакерских форумах, как о 0-day баге.
Два продукта NetScaler, ранее носившие названия Citrix ADC и Citrix Gateway, получили обновления для устранения сразу трех уязвимостей. Самая серьезная из них получила оценку 9,8 балла по шкале CVSS и отслеживается под идентификатором CVE-2023-3519. Злоумышленник может использовать ее для удаленного выполнения кода без аутентификации.
Чтобы хакеры могли использовать эту проблему, уязвимое устройство должно быть настроено как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, RDP-прокси) или как виртуальный сервер аутентификации (AAA).
Citrix сообщает, что для CVE-2023-3519 были обнаружены эксплоиты и рекомендует клиентам как можно скорее установить обновленную версию:
- NetScaler ADC и NetScaler Gateway 13.1–49.13 и более поздние версии;
- NetScaler ADC и NetScaler Gateway 13.0–91.13 и более поздние версии 13.0;
- NetScaler ADC 13.1-FIPS 13.1-37.159 и более поздние версии 13.1-FIPS;
- NetScaler ADC 12.1-FIPS 12.1-65.36 и более поздние версии 12.1-FIPS;
- NetScaler ADC 12.1-NDcPP 12.1-65.36 и более поздние версии 12.1-NDcPP.
Компания отмечает, что срок службы NetScaler ADC и NetScaler Gateway версии 12.1 истек, и таким клиентам следует перейти на более новую версию продукта.
Издание Bleeping Computer сообщает, что в начале июля на хакерских форумах уже рекламировалась уязвимость нулевого дня в Citrix ADC. Деталей было слишком мало, чтобы связать эти сообщения с вышедшими теперь патчами, но журналисты полагают, что связь есть.
Так, 6 июля автор поста заявил, в его распоряжении имеется информация о 0-day проблеме, позволяющей осуществить удаленное выполнение кода, которая актуальна для Citrix ADC вплоть до версии 13.1 build 48.47.
Одновременно с этим изданию стало известно, что специалисты Citrix узнали о рекламе 0-day на хакерских форумах и работают над выпуском обновления. Тогда предполагалось, что атаки на уязвимость уже начались и будут продолжаться до выхода исправлений.
Также вышедшие на этой неделе патчи включают исправления для двух других багов, CVE-2023-3466 и CVE-2023-3467. Эти проблемы получили 8,3 и 8 баллов по шкале CVSS, то есть критическими не являются.
CVE-2023-3466 представляет собой отраженную XSS, которую можно использовать, если жертва загружает в браузере полученную от злоумышленника ссылку, а уязвимое устройство доступно в той же сети.
В свою очередь, CVE-2023-3467 разработчики Citrix описывают как уязвимость, позволяющую повысить привилегии до уровня root-администратора (nsroot). Для использования этой проблемы требуется аутентифицированный доступ к IP-адресу устройств NetScaler (NSIP) или IP-адресу подсети (SNIP) с доступом к интерфейсу управления.