CVE-2023-3519

Citrix NetScaler ADC and NetScaler Gateway

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-07-19

Официальное описание

Citrix NetScaler ADC and NetScaler Gateway contains a code injection vulnerability that allows for unauthenticated remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-3519 — это критическая уязвимость типа Stack-based Buffer Overflow (переполнение буфера в стеке), которая позволяет неавторизованному пользователю выполнить произвольный код (RCE) на целевом устройстве. Уязвимость эксплуатируется путем отправки специально сформированного HTTP-запроса.

Основная опасность заключается в том, что для атаки не требуются учетные данные, а успешная эксплуатация дает злоумышленнику полный контроль над NetScaler ADC/Gateway, позволяя закрепиться в сети, перехватывать трафик и красть учетные данные пользователей.

Как исправить

Единственным надежным способом устранения уязвимости является обновление прошивки устройства до актуальных версий, в которых ошибка исправлена.

  1. Определите текущую версию прошивки:
show version
  1. Установите исправление, обновившись до одной из следующих версий (или выше):
  2. NetScaler ADC и NetScaler Gateway 13.1-49.13
  3. NetScaler ADC и NetScaler Gateway 13.0-91.13
  4. NetScaler ADC 13.1-FIPS 13.1-37.159
  5. NetScaler ADC 12.1-FIPS 12.1-55.297

  6. NetScaler ADC 12.1-NDcPP 12.1-55.297

  7. Процесс установки обновления через CLI: Загрузите файл прошивки в директорию /var/nsinstall/ и выполните команды:

cd /var/nsinstall/


tar -xvzf build_package.tgz


./installns


reboot
  1. После обновления проверьте систему на наличие признаков компрометации (IoC), так как патч не удаляет уже установленные бэкдоры. Проверьте наличие подозрительных файлов в /var/vpn/themes/ и нетипичных процессов.

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие меры для снижения риска, однако они не гарантируют полную защиту:

  1. Ограничьте доступ к интерфейсу управления (NSIP) и убедитесь, что он не доступен из публичных сетей.

  2. Если устройство настроено как SAML Service Provider (SP) или SAML Identity Provider (IdP), это повышает риск. Временно отключите SAML-аутентификацию, если это допустимо бизнес-процессами.

  3. Настройте правила на внешнем Firewall или WAF для блокировки подозрительных POST-запросов к эндпоинтам аутентификации, содержащих аномально длинные заголовки или тела запросов.

  4. Проверьте целостность системы на наличие веб-шеллов:

find /var/vpn/themes -name "*.php" -mtime -30


ls -la /var/netscaler/logon/logonpoint/index.html
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей