Tilkynnt var um nokkra alvarlega veikleika í Citrix ADC og Citrix Gateway hjá Citrix Systems og ýmsum kerfum hjá Oracle. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Alvarlegir veikleikar (e. critical)
Citrix ADC og Citrix Gateway (NetScaler ADC og NetScaler Gateway)
Veikleikinn CVE-2023-3519 með CVSSv3 einkunn uppá 9.8 gerir ógnaraðila kleift að fjarkeyra kóða (e. remote code execution). Veikleikinn á við um búnað sem hefur verið stilltur sem gátt (e. gateway) fyrir VPN virtual server, ICA Proxy, CVPN, RDP Proxy eða sem AAA virtual server. Vitað er til að verið sé að misnota þennan veikleika [1].
Veikleikinn CVE-2023-3466 með CVSSv3 einkunn uppá 8.3 gerir ógnaraðila kleift að framkvæma Reflected Cross-Site Scripting (XSS) árásir ef notandi smellir á illgjarnan hlekk frá árásaraðila þegar notandinn er tengdur neti sem hefur tengingu við NSIP [1]. Sjá má nánar um XSS hjá OWASP [2].
Veikleikinn CVE-2023-3467 með CVSSv3 einkunn uppá 8 gerir ógnaraðila kleift að hækka réttindi (e. privilage escalation) sín í kerfisstjóra rótar notanda (nsroot). Ógnaraðili þarf að hafa auðkenndan aðgang að NSIP eða SNIP stjórnendaviðmóti [1].
Vert er að benda á að eins og kemur fram í tilkynningu frá Citrix Systems [1] þá hefur Citrix ADC breytt nafni í NetScaler ADC og Citrix Gateway í NetScaler Gateway. Eiga þar með Netscaler uppfærslur við um Citrix. Einnig er vert að nefna að það er ekki lengur viðhaldið útgáfu 12.1 og er veikleikinn þar til staðar.
Ýmis Oracle kerfi
Oracle gaf út reglulegt ársfjórðungs samansafn af veikleikum í ýmsum vörum frá Oracle. Um er að ræða 508 öryggis uppfærslur. Þar er að finna veikleika með CVSSv3 einkunn allt að 9.8 og er hægt að misnota marga af þessum veikleikum yfir netið án auðkenningar. Ef notast er á við vörur frá Oracle mælum við með að renna yfir tilkynninguna frá þeim [3].
Eftirfarandi kerfi eru veik fyrir göllunum:
NetScaler ADC and NetScaler Gateway 13.1: <13.1-49.13
NetScaler ADC and NetScaler Gateway 13.0: <13.0-91.13
NetScaler ADC 13.1-FIPS: <13.1-37.159
NetScaler ADC 12.1-FIPS: <12.1-55.297
NetScaler ADC 12.1-NDcPP: <12.1-55.297
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
NetScaler ADC and NetScaler Gateway 13.1: 13.1-49.13 og nýrri
NetScaler ADC and NetScaler Gateway 13.0: 13.0-91.13 og nýrri
NetScaler ADC 13.1-FIPS: 13.1-37.159 og nýrri
NetScaler ADC 12.1-FIPS: 12.1-55.297 og nýrri
NetScaler ADC 12.1-NDcPP: 12.1-55.297 og nýrri
Tilvísanir
[1] https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
[2] https://owasp.org/www-community/attacks/xss/
[3] https://www.oracle.com/security-alerts/cpujul2023.html
