Kritična ranjivost Citrix NetScaler-a

Dana 10. listopada 2023., Citrix je izdao sigurnosnu obavijest o višestrukim ranjivostima identificiranim kao CVE-2023-4966 i CVE-2023-4967, koje pogađaju NetScaler ADC i NetScaler Gateway. Ove ranjivosti mogu rezultirati izlaganjem osjetljivih informacija, kao i napadima uskraćivanja usluge (engl. Denial of Service - DoS). Savjetuje se žurno ažuriranje zahvaćenih uređaja. 

Tehnički detalji ključnih ranjivosti popravljenih ovim ažuriranjem:
Ranjivost CVE-2023-4966, s CVSS ocjenom 9.4 od 10, može dovesti do izlaganja osjetljivih informacija. Kako bi došlo do iskorištavanja uređaj mora biti konfiguriran kao Gateway (VPN virtualni poslužitelj, ICA Proxy, CVPN, RDP Proxy) ili AAA virtualni poslužitelj.
Ranjivost CVE-2023-4967, s CVSS ocjenom 8.2 od 10, može rezultirati napadom uskraćivanja usluge. Preduvjeti za iskorištavanje su isti kao i kod prethodnog CVE-a.
 
Zahvaćeni proizvodi: 
  • NetScaler ADC i NetScaler Gateway 14.1 prije verzije 14.1-8.50
  • NetScaler ADC i NetScaler Gateway 13.1 prije verzije 13.1-49.15
  • NetScaler ADC i NetScaler Gateway 13.0 prije verzije 13.0-92.19
  • NetScaler ADC 13.1-FIPS prije verzije 13.1-37.164
  • NetScaler ADC 12.1-FIPS prije verzije 12.1-55.300
  • NetScaler ADC 12.1-NDcPP prije verzije 12.1-55.300
Napomena: Verzije 12.1 NetScaler ADC i NetScaler Gateway su dostigle kraj životnog vijeka (EOL) i ranjive su.
 
Preporuke:
Preporuka je žurno ažuriranje zahvaćenih proizvoda Citrix NetScaler ADC-a i Citrix NetScaler Gateway-ja na najnovije dostupne verzije.
 
Više informacija moguće je pročitati na sljedećoj poveznici:
[Inicijalna objava: 13.10.2023 - 13:05]