Пламя 0day-атак охватило Citrix: RCE и DoS подвергают риску клиентов NetScaler

Компания Citrix настоятельно рекомендует пользователям немедленно установить патчи на устройства Netscaler ADC и Netscaler Gateway , подключенные к интернету, для предотвращения атак, связанных с двумя новыми активно эксплуатируемыми уязвимостями типа «zero-day» .

Данные недостатки безопасности, отмеченные как CVE-2023-6548 и CVE-2023-6549 , влияют на интерфейс управления Netscaler и делают экземпляры с устаревшим ПО уязвимыми к атакам с выполнением удалённого кода и отказу в обслуживании соответственно.

Для выполнения кода атакующим необходим доступ к учётной записи с низкими привилегиями, а также NSIP, CLIP или SNIP с доступом к интерфейсу управления. Устройства должны быть настроены как шлюз (виртуальный VPN сервер, ICA Proxy, CVPN, RDP Proxy) или AAA виртуальный сервер, чтобы быть уязвимыми к атакам типа «отказ в обслуживании».

По утверждению компании, только управляемые клиентами устройства Netscaler подвержены этим уязвимостям. Облачные сервисы Citrix и адаптивная аутентификация, управляемые самой Citrix, не затронуты.

Список версий продуктов NetScaler, подверженных этим уязвимостям, включает:

• NetScaler ADC и NetScaler Gateway с 14.1 до 14.1-12.35
• NetScaler ADC и NetScaler Gateway с 13.1 до 13.1-51.15
• NetScaler ADC и NetScaler Gateway с 13.0 до 13.0-92.21
• NetScaler ADC 13.1-FIPS до 13.1-37.176
• NetScaler ADC 12.1-FIPS до 12.1-55.302
• NetScaler ADC 12.1-NDcPP до 12.1-55.302

Согласно данным платформы мониторинга угроз Shadowserver , около 1500 интерфейсов управления Netscaler сейчас доступны из Интернета.

В своей недавней рекомендации по безопасности Citrix настоятельно призывает администраторов немедленно обновить свои устройства NetScaler, чтобы предотвратить возможные атаки.

Компания предупреждает, что эксплуатация данных уязвимостей на устройствах без соответствующих обновлений уже наблюдалась, в связи с чем клиентам NetScaler ADC и NetScaler Gateway рекомендуется установить соответствующие обновлённые версии как можно скорее.

Тем, кто до сих пор использует программное обеспечение NetScaler ADC и NetScaler Gateway версии 12.1, завершившее свой жизненный цикл, также советуют перейти на версию, которая все ещё поддерживается.

Администраторам, которые не могут немедленно установить последние обновления безопасности, следует заблокировать сетевой трафик к затронутым экземплярам и убедиться, что они не доступны из Интернета. Citrix также рекомендует физически или логически отделить сетевой трафик к интерфейсу управления устройства от обычного сетевого трафика.

Кроме того, в компании советуют в принципе не выставлять интерфейс управления в Интернет. Отсутствие такого доступа значительно снижает риск эксплуатации этой проблемы.

Другая критическая уязвимость Netscaler, исправленная в октябре и отслеживаемая как CVE-2023-4966 (позднее получившая название Citrix Bleed), также эксплуатировалась с августа различными группами угроз для взлома сетей государственных организаций и крупных технологических компаний по всему миру, таких как Boeing.

Центр координации кибербезопасности сектора здравоохранения ( HC3 ) также выпустил общеотраслевое предупреждение , призывая организации здравоохранения обезопасить свои экземпляры NetScaler ADC и NetScaler Gateway от нарастающих атак программ-вымогателей.