CVE-2022-27518

Citrix Application Delivery Controller (ADC) and Gateway

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-12-13

Официальное описание

Citrix Application Delivery Controller (ADC) and Gateway, when configured with SAML SP or IdP configuration, contain an authentication bypass vulnerability that allows an attacker to execute code as administrator.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-27518 — это критическая уязвимость (CVSS 9.8), позволяющая неавторизованному злоумышленнику обойти аутентификацию и выполнить произвольный код с правами администратора (RCE) на устройстве. Проблема связана с некорректной обработкой SAML-сообщений.

Уязвимость актуальна только в том случае, если Citrix ADC или Citrix Gateway настроены как: SAML Service Provider (SP) — поставщик услуг. SAML Identity Provider (IdP) — поставщик удостоверений.

Данная брешь активно эксплуатировалась APT-группировками (в частности, связываемыми с APT28) для получения первоначального доступа в корпоративные сети.

Как исправить

Единственным надежным способом устранения уязвимости является обновление прошивки устройства до защищенных версий. Перед установкой убедитесь, что ваша текущая версия находится на поддержке.

Защищенные версии: Citrix ADC и Citrix Gateway 13.0-58.32 и выше. Citrix ADC и Citrix Gateway 12.1-65.25 и выше. Citrix ADC FIPS 12.1-55.291 и выше. Citrix ADC NDcPP 12.1-55.291 и выше.

Процесс обновления через CLI:

  1. Скачайте соответствующий пакет обновления с официального портала Citrix.
  2. Загрузите пакет на устройство (например, в директорию /var/nsinstall/).
  3. Распакуйте и запустите скрипт установки:
tar -xvzf build_package.tgz


./installns
  1. После завершения установки перезагрузите устройство:
reboot

Проверка версии после обновления:

show version

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риск эксплуатации, изменив конфигурацию.

  1. Проверка использования SAML: Проверьте, используется ли на вашем устройстве конфигурация SAML. Если командная строка ниже возвращает результат, ваше устройство в зоне риска:
show samlAction


show samlIdPProfile

  1. Отключение SAML (если возможно): Если функционал SAML не является критически важным в данный момент, временно отключите соответствующие политики аутентификации.

  2. Ограничение доступа: Настройте ACL (Access Control Lists), чтобы ограничить доступ к интерфейсам управления и порталам авторизации только для доверенных IP-адресов.

  3. Мониторинг логов: Настройте сбор и анализ системных логов на наличие аномальных запросов к эндпоинтам SAML. Ищите записи в /var/log/ns.log, указывающие на ошибки сегментации (segfault) в процессах nspappe или authd, что может свидетельствовать о попытках эксплуатации.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей