CVE-2020-8195

Citrix Application Delivery Controller (ADC), Gateway, and SD-WAN WANOP Appliance

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Citrix ADC, Citrix Gateway, and multiple Citrix SD-WAN WANOP appliance models contain an information disclosure vulnerability.

🛡️
Технический анализ и план устранения

Суть уязвимости

Неавторизованный удаленный злоумышленник может получить доступ к конфиденциальной информации (например, конфигурации устройства, учетным данным) через специально сформированные HTTP-запросы к уязвимым конечным точкам (endpoints) на устройстве.

Как исправить

Установите исправленную версию прошивки (firmware) для вашего продукта и модели.

  • Citrix ADC и Citrix Gateway:

    • Версии 13.0: обновитесь до 13.0-64.35 или новее.
    • Версии 12.1: обновитесь до 12.1-55.18 или новее.
    • Версии 11.1: обновитесь до 11.1-65.12 или новее.
    • Версия 10.5: достигла конца жизненного цикла (EOL). Немедленно обновите устройство до поддерживаемой версии.

  • Citrix SD-WAN WANOP:

    • Обновитесь до версии 11.1.1a или 10.2.7b.

Процедура обновления (пример для ADC через CLI): 1. Загрузите файл обновления (например, build-13.0-64.35_nc.tgz) на устройство. 2. Установите обновление: bash shell cd /var/nsinstall tar -xzvf /var/tmp/build-13.0-64.35_nc.tgz ./installns 3. Перезагрузите устройство после завершения установки.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к уязвимым конечным точкам.

  1. Используйте Control Plane ACL (CPX): Настройте политики безопасности (ACL) на уровне управления (Control Plane), чтобы разрешить доступ к IP-адресу устройства только с доверенных административных сетей и заблокировать все остальные.

    • Пример настройки через CLI ADC/Gateway: bash add ns acl BLOCK_CVE-2020-8195 DENY -srcIP 0.0.0.0-255.255.255.255 -destIP <ВАШ_IP_ADC> -priority 10 add ns acl ALLOW_ADMIN PERMIT -srcIP <ВАША_АДМИН_СЕТЬ> -destIP <ВАШ_IP_ADC> -priority 100 apply ns acls

  2. Настройте брандмауэр периметра: На внешнем брандмауэре заблокируйте весь входящий HTTP/HTTPS-трафик к IP-адресам устройств Citrix, кроме трафика, необходимого для работы опубликованных приложений (обычно это порты 443, 80 для пользовательского доступа). Полный административный доступ должен осуществляться только через защищенный канал (VPN, выделенную сеть).

Важно: Временные меры лишь снижают поверхность атаки. Установка официального патча — обязательное и окончательное решение.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей