Citrix, ADC ve Ağ Geçidi Ürünlerini Etkileyen Kritik Kusur için Yamalar Çıkarıyor


Citrix

Citrix, uygulama teslim denetleyicisinde (ADC) ve Ağ Geçidinde, etkilenen sistemlerin kontrolünü ele geçirmek için kullanılabilecek kritik bir kimlik doğrulama atlama kusurunu gidermek için güvenlik güncellemeleri yayınladı.

Sorunlardan başarılı bir şekilde yararlanılması, bir saldırganın yetkili erişim elde etmesine, uzak masaüstünü ele geçirmesine ve hatta belirli yapılandırmalar altında oturum açma kaba kuvvet girişimlerine karşı savunmaları aşmasına olanak sağlayabilir.

  • CVE-2022-27510 – Ağ Geçidi kullanıcı özelliklerine yetkisiz erişim
  • CVE-2022-27513 – Kimlik avı yoluyla uzak masaüstü ele geçirme
  • CVE-2022-27516 – Kullanıcı girişi kaba kuvvet koruma işlevi atlama

Citrix ADC ve Citrix Gateway’in aşağıdaki desteklenen sürümleri kusurlardan etkilenir:

  • 13.1-33.47’den önce Citrix ADC ve Citrix Gateway 13.1
  • 13.0-88.12 öncesi Citrix ADC ve Citrix Gateway 13.0
  • 12.1.65.21 öncesi Citrix ADC ve Citrix Gateway 12.1
  • 12.1-55.289 öncesi Citrix ADC 12.1-FIPS
  • 12.1-55.289 öncesi Citrix ADC 12.1-NDcPP

Bununla birlikte, istismar, cihazların ya bir VPN (Gateway) olarak ya da alternatif olarak CVE-2022-27516 durumunda bir kimlik doğrulama, yetkilendirme ve muhasebe (AAA) sanal sunucusu olarak yapılandırılmasının ön koşuluna dayanır.

Siber güvenlik

Bunun da ötesinde, CVE-2022-27513 ve CVE-2022-27516, yalnızca sırasıyla RDP proxy özelliği ve kullanıcı kilitleme işlevi “Maks Oturum Açma Denemesi” ayarlandığında da geçerlidir.

Bulut bilişim ve sanallaştırma teknolojisi şirketi, doğrudan Citrix tarafından yönetilen bulut hizmetlerine güvenen müşterilerin herhangi bir işlem yapmasına gerek olmadığını söyledi.

Polonyalı sızma testi firması Securitum’da araştırmacı olan Jarosław Jahrek Kamiński, güvenlik açıklarını keşfetme ve bildirme konusunda itibar kazandı.

Citrix bir danışma belgesinde, “Citrix ADC ve Citrix Gateway’in etkilenen müşterilerinin, Citrix ADC veya Citrix Gateway’in ilgili güncel sürümlerini mümkün olan en kısa sürede yüklemeleri önerilir.” Dedi.





Source link