ГлавнаяБаза уязвимостей БДУ → BDU:2023-00008
10критическая

BDU:2023-00008

Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway), связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить доступ к шлюзу (настроенному в режиме RDP-прокси)
Опубликовано: 2023-01-03
Описание

Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway) связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к шлюзу (настроенному в режиме RDP-прокси)

Затрагиваемое ПО и версии
Citrix Gateway (от 12.1 до 12.1-65.21)Citrix Gateway (от 13.0 до 13.0-88.12)Citrix Gateway (от 13.1 до 13.1-33.41)Citrix ADC (от 13.1 до 13.1-33.47)Citrix ADC (от 13.0 до 13.0-88.12)Citrix ADC (от 12.1 до 12.1-65.21)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
1. Подключение встроенного профиля HTTP (nshttp_default_strict_validation) к одному или нескольким виртуальным серверам с помощью следующих команд:
set lb vserver <vserver_name> -httpProfileName nshttp_default_strict_validation
set cs vserver <vserver_name> -httpProfileName nshttp_default_strict_validation

2. Отключение мультиплексирование HTTP для предотвращения атак "контрабанда HTTP-запросов" с помощью команды (глобально):
set ns httpParam -conMultiplex DISABLED
или (для отдельного профиля):
set httpProfile <profile_name> -conMultiplex DISABLED

3. Отключение параметра "passProtocolUpgrade"

Использование рекомендаций:
https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
https://support.citrix.com/article/CTX472830/citrix-adc-http-request-smuggling-reference-guide

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516https://support.citrix.com/article/CTX472830/citrix-adc-http-request-smuggling-reference-guide
Проверьте безопасность своего сайта и почты → Полная проверка домена