Kritična ranjivost Citrix NetScaler-a
Dana 18. srpnja 2023. godine, Citrix je objavio sigurnosnu objavu koja se odnosi na jednu kritičnu ranjivost i dvije ranjivosti značajne razine rizika koje utječu na upravljački dio aplikacija Citrix NetScaler (ADC) i NetScaler Gateway.
Tehnički detalji ključnih ranjivosti popravljenih ovim ažuriranjem:
CVE-2023-3519 (CVSS ocjena 9.8): Neautentificirano udaljeno izvršavanje koda. Uočena su iskorištavanja ranjivosti CVE-2023-3519 na nezaštićenim uređajima! Da bi se iskoristila ranjivost, uređaj mora biti konfiguriran kao poslužitelj za preusmjeravanje (VPN virtualni poslužitelj, ICA Proxy, CVPN, RDP Proxy) ili AAA virtualni poslužitelj.
CVE-2023-3466 (CVSS ocjena 8.3): Reflektirani Cross-Site Scripting (XSS). Ranjivost se može iskoristiti ako žrtva pristupi vezi kojom upravlja zlonamjerni napadač dok je na mreži s pristupom uređaju.
CVE-2023-3467 (CVSS ocjena 8.0): Eskalacija ovlasti do korisnika s administratorskim ovlastima (nsroot). Za iskorištavanje ovog propusta potreban je ovlašteni pristup NSIP ili SNIP putem upravljačkog sučelja.
Zahvaćeni proizvodi:
- NetScaler ADC i NetScaler Gateway 13.1 prije verzije 13.1-49.13
- NetScaler ADC i NetScaler Gateway 13.0 prije verzije 13.0-91.13
- NetScaler ADC 13.1-FIPS prije verzije 13.1-37.159
- NetScaler ADC 12.1-FIPS prije verzije 12.1-55.297
- NetScaler ADC 12.1-NDcPP prije verzije 12.1-55.297
Napomena: Verzija 12.1 NetScaler ADC i NetScaler Gateway je dostigla kraj životnog vijeka (EOL) i ranjiva je.
Preporuke:
Preporuka je žurno ažuriranje zahvaćenih proizvoda Citrix NetScaler ADC-a i Citrix NetScaler Gateway-ja na najnovije dostupne verzije.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
- https://www.netscaler.com/articles/what-is-an-application-delivery-controller
- https://docs.citrix.com/en-us/citrix-gateway.html
[inicijalna obavijest 20.7.2023 - 13:48]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima