CVE-2020-8196

Суть уязвимости

Уязвимость (CVE-2020-8196) позволяет неавторизованному удаленному злоумышленнику получить доступ к конфиденциальной информации на уязвимых устройствах. Это происходит из-за недостаточной проверки входных данных в определенных HTTP-запросах к интерфейсу управления (Management Interface). Эксплуатация может привести к утечке учетных данных, конфигурационных файлов и другой системной информации.

Как исправить

Установите официальный патч от Citrix, обновив устройство до одной из исправленных версий прошивки.

Для Citrix ADC и Citrix Gateway: * Версии 13.0: обновитесь до 13.0-64.35 или новее. * Версии 12.1: обновитесь до 12.1-55.18 или новее. * Версии 11.1: обновитесь до 11.1-63.9 или новее. * Версия 10.5: обновитесь до 10.5-70.18 или новее.

Для Citrix SD-WAN WANOP: * Версии 11.1: обновитесь до 11.1.1a или новее. * Версии 10.2: обновитесь до 10.2.6b или новее.

Процесс обновления (пример для ADC через CLI): 1. Загрузите файл обновления (.tgz) с портала Citrix на устройство. 2. Установите обновление: bash shell cd /var/nsinstall tar -xzvf /var/tmp/NS-13.0-64.35_nc.tgz ./installns 3. Перезагрузите устройство после завершения установки.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

1. Ограничьте доступ к интерфейсу управления (NSIP/SNIP): Настройте списки контроля доступа (ACL) или брандмауэр, чтобы разрешить подключение к IP-адресу управления только с доверенных административных сетей.

   • На Citrix ADC это можно сделать через System > Network > ACLs.

2. Используйте брандмауэр (WAF): Разместите перед устройством веб-брандмауэр (WAF), способный фильтровать и блокировать аномальные HTTP-запросы к пути /vpn/../.

3. Отключите неиспользуемые интерфейсы: Если интерфейс управления не должен быть доступен из определенных сегментов сети, убедитесь, что он отключен на этих физических или VLAN-интерфейсах.