CVE-2023-6549

Citrix NetScaler ADC and NetScaler Gateway

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-01-17

Официальное описание

Citrix NetScaler ADC and NetScaler Gateway contain a buffer overflow vulnerability that allows for a denial-of-service when configured as a Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) or AAA virtual server.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-6549 представляет собой критическую уязвимость типа «переполнение буфера» (Buffer Overflow) в программном обеспечении Citrix NetScaler ADC и NetScaler Gateway.

Эксплуатация данной уязвимости позволяет неавторизованному злоумышленнику вызвать отказ в обслуживании (Denial of Service, DoS). В определенных условиях существует риск удаленного выполнения произвольного кода (RCE), хотя основным вектором атаки подтверждено падение сервиса.

Уязвимость проявляется только в случаях, когда устройство настроено как: * Gateway (VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy). * AAA Virtual Server (Authentication, Authorization, and Auditing).

Как исправить

Единственным надежным способом устранения уязвимости является обновление прошивки NetScaler до актуальных версий, в которых данная проблема исправлена.

Рекомендуемые версии для обновления: * NetScaler ADC и NetScaler Gateway 14.1-12.35 и выше. * NetScaler ADC и NetScaler Gateway 13.1-51.15 и выше. * NetScaler ADC и NetScaler Gateway 13.0-92.21 и выше. * NetScaler ADC 13.1-FIPS 13.1-37.176 и выше. * NetScaler ADC 12.1-FIPS 12.1-55.302 и выше. * NetScaler ADC 12.1-NDcPP 12.1-55.302 и выше.

Процесс обновления через CLI:

  1. Загрузите соответствующий пакет обновления с официального портала Citrix.
  2. Распакуйте пакет и выполните установку:
installns /var/nsinstall/build_package_name
  1. Перезагрузите устройство для применения изменений:
reboot

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие меры для снижения риска:

  1. Изоляция управления: Убедитесь, что интерфейс управления (NSIP) защищен межсетевым экраном и не доступен из публичных сетей.

  2. Ограничение функционала: Если функции Gateway или AAA не являются критически важными для бизнес-процессов в данный момент, их временное отключение устранит вектор атаки.

  3. Настройка политик безопасности (Responder): Используйте политики Responder для фильтрации подозрительного трафика, направленного на виртуальные серверы Gateway/AAA, однако помните, что это не гарантирует 100% защиты от переполнения буфера на уровне протокола.

  4. Мониторинг: Настройте алертинг на внезапные перезагрузки процесса NSPPE (NetScaler Packet Processing Engine), что может свидетельствовать о попытках эксплуатации:

shell grep -i "core dump" /var/log/messages
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей