Ranjivosti u Netscaler ADS i Netscaler Gateway uređajima
Dana 16. siječnja 2024. godine, tvrtka Citrix je objavila sigurnosno upozorenje za dvije ranjivosti u Citrix NetScaler ADC i NetScaler Gateway: CVE-2023-6548 i CVE-2023-6549, koje se aktivno iskorištavaju te zahtijevaju žurno ažuriranje.
Tehnički detalji ključnih ranjivosti otklonjenih ovim ažuriranjem:
Ranjivost CVE-2023-6548 (CVSS ocjena 5,5) predstavlja ranjivost udaljenog izvršavanja kôda (engl. remote code execution - RCE) u NetScaler ADC i Gateway uređajima. Ranjivost može iskoristiti autentificirani napadač s nižim privilegijama, koji može pristupiti NetScaler IP (NSIP), Subnet IP (SNIP) ili IP adresi upravljanja clustera (CLIP) s pristupom upravljačkom sučelju uređaja.
Ranjivost CVE-2023-6549 (CVSS ocjena 8,2) predstavlja ranjivost uskraćivanja usluge (engl. Denial of Service - DoS) na istim uređajima, a koja se može iskoristiti kada je ranjivi uređaj konfiguriran kao Gateway (tj. VPN, ICA Proxy, CVPN, RDP Proxy) ili kao AAA virtualni poslužitelj.
Zahvaćeni proizvodi:
- NetScaler ADC i NetScaler Gateway 13.0 prije verzije 13.0-92.21;
- NetScaler ADC i NetScaler Gateway 13.1 prije verzije 13.1-51.15;
- NetScaler ADC i NetScaler Gateway 14.1 prije verzije 14.1-12.35;
- NetScaler ADC 12.1-NDcPP prije verzije 12.1-55.302;
- NetScaler ADC 12.1-FIPS prije verzije 12.1-55.302;
- NetScaler ADC 13.1-FIPS prije verzije 13.1-37.176.
Preporuke:
Preporučuje se žurno ažuriranje ranjivih Citrix uređaja na najnoviju dostupnu inačicu.
Ranjivost CVE-2023-6548 zahvaća samo upravljačko sučelje uređaja, a kako bi zaštitili informacijske sustave od potencijalnih iskorištavanja ranjivosti i kako je preporučeno u uputama za sigurnu implementaciju tvrtke Citrix, to sučelje ne bi trebalo biti javno izloženo odnosno dostupno putem interneta.
Ranjivost CVE-2023-6548 zahvaća samo upravljačko sučelje uređaja, a kako bi zaštitili informacijske sustave od potencijalnih iskorištavanja ranjivosti i kako je preporučeno u uputama za sigurnu implementaciju tvrtke Citrix, to sučelje ne bi trebalo biti javno izloženo odnosno dostupno putem interneta.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549
- https://www.bleepingcomputer.com/news/security/citrix-warns-of-new-netscaler-zero-days-exploited-in-attacks/
[inicijalna objava: 18.1.2024 - 13:30]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava