Уязвимость контроллера доставки приложений NetScaler ADC (ранее Citrix ADC) и системы контроля доступа к виртуальной среде NetScaler Gateway (ранее Citrix Gateway) связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и вызвать отказ в обслуживании
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- проверка конфигурации устройства на предмет наличия следующих признаков:
настройки сервера аутентификации (AAA Vserver):
add authentication vserver .* ;
настройки служб VPN Vserver, ICA Proxy, CVPN, RDP Proxy:
add vpn vserver .* ;
настройки виртуального сервера LB типа HTTP_QUIC|SSL|HTTP, связанного со службами IPv6 или группами служб, связанными с серверами IPv6:
enable ns feature lb.*
add serviceGroup .* (HTTP_QUIC|SSL|HTTP) .*
add server .* <IPv6>
bind servicegroup <servicegroup name> <IPv6 server> .*
add lb vserver .* (HTTP_QUIC|SSL|HTTP) .*
bind lb vserver .* <ipv6 servicegroup name> ;
настройки виртуального сервера LB типа HTTP_QUIC|SSL|HTTP, связанного со службами DBS IPv6 или группами служб, связанными с серверами IPv6 DBS:
enable ns feature lb.*
add serviceGroup .* (HTTP_QUIC | SSL | HTTP) .*
add server .* <domain> -queryType AAAA
add service .* <IPv6 DBS server >
bind servicegroup <servicegroup name> <IPv6 DBS server> .*
add lb vserver .* (HTTP_QUIC | SSL | HTTP) .*
bind lb vserver .* <ipv6 servicegroup name> ;
настройки службы CR vserver с типом HDX:
add cr vserver .* HDX .* ;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети с целью ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- ограничение доступа к устройству из внешних сетей (Интернет).
Использование рекомендаций:
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938
| Балл | 7.6 — критическая опасность |