ГлавнаяБаза уязвимостей БДУ → BDU:2025-10349
7.6критическая

BDU:2025-10349

Уязвимость контроллера доставки приложений NetScaler ADC (ранее Citrix ADC) и системы контроля доступа к виртуальной среде NetScaler Gateway (ранее Citrix Gateway), позволяющая нарушителю выполнить произвольный код и вызвать отказ в обслуживании
Опубликовано: 2025-08-27
Описание

Уязвимость контроллера доставки приложений NetScaler ADC (ранее Citrix ADC) и системы контроля доступа к виртуальной среде NetScaler Gateway (ранее Citrix Gateway) связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Citrix ADC (до 14.1-47.48)Citrix ADC (до 13.1-59.22)NetScaler Gateway (до 13.1-59.22)NetScaler Gateway (до 14.1-47.48)Citrix ADC (до 13.1-37.241 FIPS)Citrix ADC (до 13.1-37.241 NDcPP)Citrix ADC (до 12.1-55.330 FIPS)Citrix ADC (до 12.1-55.330 NDcPP)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- проверка конфигурации устройства на предмет наличия следующих признаков:
настройки сервера аутентификации (AAA Vserver):
add authentication vserver .* ;

настройки служб VPN Vserver, ICA Proxy, CVPN, RDP Proxy:
add vpn vserver .* ;

настройки виртуального сервера LB типа HTTP_QUIC|SSL|HTTP, связанного со службами IPv6 или группами служб, связанными с серверами IPv6:
enable ns feature lb.*
add serviceGroup .* (HTTP_QUIC|SSL|HTTP) .*
add server .* <IPv6>
bind servicegroup <servicegroup name> <IPv6 server> .*
add lb vserver .* (HTTP_QUIC|SSL|HTTP) .*
bind lb vserver .* <ipv6 servicegroup name> ;

настройки виртуального сервера LB типа HTTP_QUIC|SSL|HTTP, связанного со службами DBS IPv6 или группами служб, связанными с серверами IPv6 DBS:
enable ns feature lb.*
add serviceGroup .* (HTTP_QUIC | SSL | HTTP) .*
add server .* <domain> -queryType AAAA
add service .* <IPv6 DBS server >
bind servicegroup <servicegroup name> <IPv6 DBS server> .*
add lb vserver .* (HTTP_QUIC | SSL | HTTP) .*
bind lb vserver .* <ipv6 servicegroup name> ;

настройки службы CR vserver с типом HDX:
add cr vserver .* HDX .* ;

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети с целью ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- ограничение доступа к устройству из внешних сетей (Интернет).

Использование рекомендаций:
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938

Оценка CVSS
Балл7.6 — критическая опасность
Источники и патчи
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938
Проверьте безопасность своего сайта и почты → Полная проверка домена