CVE-2023-6548

Citrix NetScaler ADC and NetScaler Gateway

ВЕРОЯТНОСТЬ 8.3%
Дата обнаружения

2024-01-17

Официальное описание

Citrix NetScaler ADC and NetScaler Gateway contain a code injection vulnerability that allows for authenticated remote code execution on the management interface with access to NSIP, CLIP, or SNIP.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-6548 представляет собой критическую уязвимость типа Code Injection (инъекция кода) в интерфейсе управления Citrix NetScaler ADC и NetScaler Gateway. Проблема позволяет аутентифицированному злоумышленнику с низким уровнем привилегий выполнить произвольный код с правами root в операционной системе базового устройства.

Атака возможна через интерфейс управления (Management Interface), доступный по адресам NSIP (NetScaler IP), CLIP (Cluster IP) или SNIP (Subnet IP) с включенным доступом к управлению. Уязвимость затрагивает только плоскость управления (Control Plane) и не может быть эксплуатирована через виртуальные серверы (Data Plane), такие как Gateway VIP или Load Balancing VIP.

Как исправить

Единственным надежным способом устранения уязвимости является обновление прошивки NetScaler до версий, в которых ошибка исправлена.

  1. Определите текущую версию прошивки:
show version
  1. Скачайте соответствующий патч с официального портала Citrix (Cloud Software Group) и установите его. Исправленные версии:
  2. NetScaler ADC и NetScaler Gateway 14.1-12.35 и выше.
  3. NetScaler ADC и NetScaler Gateway 13.1-51.15 и выше.
  4. NetScaler ADC и NetScaler Gateway 13.0-92.31 и выше.
  5. NetScaler ADC 13.1-FIPS 13.1-37.176 и выше.
  6. NetScaler ADC 12.1-FIPS 12.1-55.302 и выше.

  7. NetScaler ADC 12.1-NDcPP 12.1-55.302 и выше.

  8. Для установки обновления используйте стандартную процедуру через CLI:

install ns rel_14.1_12.35.tgz
  1. После установки перезагрузите устройство:
reboot

Временные меры

Если немедленное обновление невозможно, необходимо максимально ограничить поверхность атаки на интерфейс управления.

  1. Сетевая изоляция: Разместите интерфейс управления (NSIP/CLIP/SNIP) в отдельной доверенной VLAN, защищенной межсетевым экраном. Доступ должен быть разрешен только с определенных административных хостов.

  2. Отключение доступа к управлению на SNIP: Если управление разрешено на сервисных IP-адресах (SNIP), его следует немедленно отключить:

set interface <interface_id> -mgmtaccess DISABLED
  1. Использование ACL (Access Control Lists): Настройте внутренние списки контроля доступа NetScaler, чтобы ограничить доступ к портам 80 и 443 на уровне NSIP:
add ns acl restrict_mgmt ALLOW -srcIP 10.0.0.50 -destPort 443 -priority 10


add ns acl deny_all_mgmt DENY -destPort 443 -priority 100


apply ns acls
  1. Мониторинг логов: Проверяйте логи на наличие подозрительных команд от пользователей с низкими привилегиями в shell:
shell tail -f /var/log/ns.log
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей