CVE-2019-12991

Citrix SD-WAN and NetScaler

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

Authenticated Command Injection in Citrix SD-WAN Appliance and NetScaler SD-WAN Appliance.

🛡️
Технический анализ и план устранения

Суть уязвимости

Аутентифицированный злоумышленник (пользователь с правами администратора или скомпрометированными учетными данными) может выполнить произвольные команды на уровне операционной системы устройства, отправив специально сформированные HTTP-запросы. Это позволяет получить полный контроль над устройством.

Как исправить

Установите обновление прошивки (фирмвера) для вашего устройства, устраняющее эту уязвимость.

  1. Определите текущую версию и модель устройства. Сделайте это через веб-интерфейс или CLI.

  2. Загрузите и установите исправленную версию с официального портала Citrix. Для разных моделей и исходных версий требуются разные патчи.

    Критические исправленные версии: * NetScaler SD-WAN (ранее Citrix SD-WAN) Standard/Enterprise Editions: Обновитесь до версии 10.2.5 или выше, либо до 11.0.1 или выше. * Citrix SD-WAN Center: Обновитесь до версии 11.0.0 или выше.

    Примерный процесс обновления через CLI (актуальные файлы и команды уточняйте в документации Citrix для вашей модели): ```bash

    Загрузите файл обновления (например, через SCP) на устройство

    Установите обновление

    update package /var/nsinstall/<имя_файла_патча>.tgz

    Перезагрузите устройство для применения изменений

    reboot ```

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Ограничьте доступ к интерфейсам управления:

    • Настройте брандмауэр или списки контроля доступа (ACL), чтобы разрешить подключение к веб-интерфейсу и SSH только с доверенных IP-адресов (административных узлов).
    • Отключите доступ к интерфейсам управления из внешней сети (Интернет), если это не является строго необходимым.

  2. Усильте контроль учетных записей:

    • Немедленно проверьте и смените пароли для всех учетных записей с правами администратора. Используйте сложные, уникальные пароли.
    • Включите многофакторную аутентификацию (MFA), если она поддерживается вашей версией.
    • Проверьте журналы аудита на предмет несанкционированного доступа или подозрительной активности.

  3. Мониторинг: Настройте SIEM-систему или аналогичное решение для обнаружения подозрительных шаблонов в HTTP-запросах к интерфейсу управления устройством (например, попытки инъекции команд в параметры).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей