CVE-2023-4966

Citrix NetScaler ADC and NetScaler Gateway

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-10-18

Официальное описание

Citrix NetScaler ADC and NetScaler Gateway contain a buffer overflow vulnerability that allows for sensitive information disclosure when configured as a Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) or AAA virtual server.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-4966 (известная как Citrix Bleed) — это критическая уязвимость переполнения буфера в компонентах Citrix NetScaler ADC и NetScaler Gateway. Она позволяет неавторизованному удаленному злоумышленнику извлечь содержимое памяти процесса, что приводит к раскрытию конфиденциальной информации.

Наиболее критичным является раскрытие сессионных токенов (cookies) пользователей. Злоумышленник может использовать эти токены для обхода многофакторной аутентификации (MFA) и захвата активных сессий, получая полный доступ к корпоративной инфраструктуре без знания логина и пароля.

Как исправить

Основным способом устранения является обновление прошивки устройства до актуальных версий, в которых ошибка исправлена.

  1. Определите текущую версию прошивки:
show version
  1. Установите исправление, соответствующее вашей ветке ПО:
  2. NetScaler ADC и NetScaler Gateway 14.1 — обновитесь до версии 14.1-8.50 и выше.
  3. NetScaler ADC и NetScaler Gateway 13.1 — обновитесь до версии 13.1-49.15 и выше.
  4. NetScaler ADC и NetScaler Gateway 13.0 — обновитесь до версии 13.0-92.21 и выше.
  5. NetScaler ADC 13.1-FIPS — обновитесь до версии 13.1-37.164 и выше.
  6. NetScaler ADC 12.1-FIPS — обновитесь до версии 12.1-55.302 и выше.

  7. NetScaler ADC 12.1-NDcPP — обновитесь до версии 12.1-55.302 и выше.

  8. После обновления необходимо принудительно завершить все активные сессии, так как токены могли быть уже скомпрометированы:

clear lb icapolicy sessions


clear aaa session -all

Временные меры

Если немедленное обновление невозможно, используйте следующие меры для снижения риска, однако помните, что они не устраняют саму уязвимость:

  1. Ограничьте доступ к порталу управления (NSIP) и убедитесь, что он не доступен из публичных сетей.

  2. Настройте блокировку подозрительных запросов на внешнем WAF (Web Application Firewall), если он поддерживает инспекцию трафика к NetScaler. Ищите аномально длинные заголовки Host в HTTP-запросах.

  3. Проверьте логи на предмет компрометации. Ищите записи о доступе с необычных IP-адресов к ресурсам после успешной аутентификации.

  4. Если устройство не используется как Gateway или AAA-сервер, убедитесь, что данные функции отключены.

Важно: Единственным надежным способом защиты является установка патча и сброс всех активных сессий.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей