Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway) связана с недостаточным контролем ресурса в период его существования. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование многофакторной аутентификации в Citrix ADC;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа из внешних сетей (Интернет).
Устройство является уязвимым в случае наличия в файле ns.conf следующих команд:
add authentication samlAction
add authentication samlIdPProfile
Сигнатуры Yara-правил, используемые для выявления вредоносных программ, эксплуатирующих уязвимость:
rule tricklancer_a {
strings:
$str1 = "//var//log//ns.log" nocase ascii wide
$str2 = "//var//log//cron" nocase ascii wide
$str3 = "//var//log//auth.log" nocase ascii wide
$str4 = "//var//log//httpaccess-vpn.log" nocase ascii wide
$str5 = "//var//log//nsvpn.log" nocase ascii wide
$str6 = "TF:YYYYMMddhhmmss" nocase ascii wide
$str7 = "//var//log//lastlog" nocase ascii wide
$str8 = "clear_utmp" nocase ascii wide
$str9 = "clear_text_http" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_b {
strings:
$str1 = "nsppe" nocase ascii wide
$str2 = "pb_policy -h nothing" nocase ascii wide
$str3 = "pb_policy -d" nocase ascii wide
$str4 = "findProcessListByName" nocase ascii wide
$str5 = "restoreStateAndDetach" nocase ascii wide
$str6 = "checktargetsig" nocase ascii wide
$str7 = "DoInject" nocase ascii wide
$str8 = "DoUnInject" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_c {
strings:
$str1 = "is_path_traversal_or_vpns_attack_request" nocase ascii wide
$str2 = "ns_vpn_process_unauthenticated_request" nocase ascii wide
$str3 = "mmapshell" nocase ascii wide
$str4 = "DoUnInject" nocase ascii wide
$str5 = "CalcDistanse" nocase ascii wide
$str6 = "checkMyData" nocase ascii wide
$str7 = "vpn_location_url_len" nocase ascii wide
condition:
5 of ($str*)
}
Использование рекомендаций производителя:
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
| Балл | 10 — критическая опасность |