CVE-2020-8193

Citrix Application Delivery Controller (ADC), Gateway, and SD-WAN WANOP Appliance

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Citrix ADC, Citrix Gateway, and multiple Citrix SD-WAN WANOP appliance models contain an authorization bypass vulnerability that may allow unauthenticated access to certain URL endpoints. The attacker must have access to the NetScaler IP (NSIP) in order to perform exploitation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник, имеющий сетевой доступ к IP-адресу управления устройства (NSIP), может отправлять специально сформированные HTTP-запросы к определенным URL-эндпоинтам, минуя проверку авторизации. Это позволяет получить несанкционированный доступ к функционалу или информации устройства.

Как исправить

Установите исправленную версию прошивки для вашего устройства в соответствии с моделью и текущей версией:

  • Citrix ADC и Citrix Gateway:

    • Версии 13.0: обновитесь до 13.0-64.35 или новее.
    • Версии 12.1: обновитесь до 12.1-55.18 или новее.
    • Версии 12.0: обновитесь до 12.0-63.21 или новее.
    • Версии 11.1: обновитесь до 11.1-65.12 или новее.
    • Версия 10.5: более не поддерживается. Немедленно выполните миграцию на поддерживаемую версию.

  • Citrix SD-WAN WANOP:

    • Версии 11.1: обновитесь до 11.1.1a или новее.
    • Версии 10.3: обновитесь до 10.3.2 или новее.

Процесс обновления (пример для ADC через CLI):

# 1. Загрузите файл обновления (build) на устройство
> shell
# cd /var/nsinstall
# Используйте SCP, SFTP или загрузите через браузер (System > Upgrade)

# 2. Установите обновление (вернитесь в CLI ADC)
> install ns_upgrade_release.<build_number>.tgz
# Следуйте инструкциям на экране и перезагрузите устройство при запросе.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к NSIP:

  1. Строго ограничьте доступ к NSIP с помощью ACL на маршрутизаторах или фаерволе. Разрешите подключения к портам управления (например, 443, 22) только с доверенных IP-адресов администраторов.

    • Пример правила для iptables (на шлюзе): bash iptables -A INPUT -p tcp --dport 443 -s <trusted_admin_ip> -d <nsip_address> -j ACCEPT iptables -A INPUT -p tcp --dport 443 -d <nsip_address> -j DROP

  2. Используйте встроенный Citrix Web App Firewall (WAF):

    • Создайте или обновите профиль WAF, добавив правило, которое блокирует запросы, не содержащие валидную сессию аутентификации, к защищенным эндпоинтам API. Сконцентрируйтесь на URL, начинающихся с /nitro/, /api/ и /vpn/.

  3. Рассмотрите возможность удаления NSIP из публичных интерфейсов. Настройте управление устройством только через выделенный MIP (Mapped IP) или SNIP (Subnet IP), который не маршрутизируется в интернет.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей