CVE-2019-12989

Citrix SD-WAN and NetScaler

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

Citrix SD-WAN and NetScaler SD-WAN allow SQL Injection.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость SQL-инъекции в веб-интерфейсе управления Citrix SD-WAN и NetScaler SD-WAN. Злоумышленник может внедрить произвольные SQL-команды в параметры запросов к веб-приложению. Это позволяет: * Получать несанкционированный доступ к базе данных устройства. * Читать, изменять или удалять конфигурационные данные. * В некоторых случаях — выполнять произвольные команды на сервере.

Как исправить

Установите обновление, устраняющее уязвимость. Требуемая версия зависит от вашей модели и текущей версии ПО.

  1. Определите текущую версию ПО и модель устройства. Сделайте это через веб-интерфейс или CLI: bash # Пример команды для проверки версии через CLI (точная команда может отличаться) show version

  2. Загрузите и установите исправленную версию с официального портала Citrix. Для уязвимости CVE-2019-12989 требуются версии:

    • Citrix SD-WAN (ранее NetScaler SD-WAN) Standard/Enterprise Editions: версия 10.2.5 и выше.
    • Citrix SD-WAN Center: версия 10.2.5 и выше.

    Процесс обновления: * Скачайте файл обновления (.img или .gz) с Citrix Downloads. * Загрузите его на устройство через веб-интерфейс (Configuration > System Administration > Software Upgrade) или по SCP. * Активируйте новую версию и перезагрузите устройство в запланированное окно обслуживания.

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Ограничьте доступ к веб-интерфейсу управления:

    • Настройте брандмауэр или группы безопасности (Security Groups) так, чтобы доступ к портам веб-интерфейса (по умолчанию 443/TCP, 80/TCP) был только с доверенных IP-адресов (административных узлов).
    • Никогда не открывайте порты интерфейса управления в публичный интернет.

  2. Настройте WAF (Web Application Firewall):

    • Если устройство развернуто за WAF (например, Citrix ADC/WAF, F5, Imperva), активируйте и настройте сигнатуру для блокировки SQL-инъекций.
    • Убедитесь, что политики WAF применяются к трафику, идущему к IP-адресу и порту веб-интерфейса SD-WAN.

  3. Повысьте мониторинг:

    • Включите детальное логирование веб-доступа на устройстве.
    • Настройте SIEM-систему на оповещение о подозрительных запросах, содержащих SQL-метасимволы (например, кавычки, символы комментариев --, ключевые слова UNION, SELECT), отправляемых на адрес интерфейса управления.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей