Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway) связана с обходом процедуры аутентификации посредством использования альтернативного пути или канала. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
1. Подключение встроенного профиля HTTP (nshttp_default_strict_validation) к одному или нескольким виртуальным серверам с помощью следующих команд:
set lb vserver <vserver_name> -httpProfileName nshttp_default_strict_validation
set cs vserver <vserver_name> -httpProfileName nshttp_default_strict_validation
2. Отключение мультиплексирование HTTP для предотвращения атак "контрабанда HTTP-запросов" с помощью команды (глобально):
set ns httpParam -conMultiplex DISABLED
или (для отдельного профиля):
set httpProfile <profile_name> -conMultiplex DISABLED
3. Отключение параметра "passProtocolUpgrade"
Использование рекомендаций:
https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
https://support.citrix.com/article/CTX472830/citrix-adc-http-request-smuggling-reference-guide
| Балл | 10 — критическая опасность |