Citrix, NetScaler’ın 14.1.47.46 ve 13.1.59.19’daki son güncellemelerini takiben yaygın bir kimlik doğrulama hatalarına ilişkin acil bir danışma uyarısı yayınladı.
Şirketin devam eden güvenli tasarım girişiminin bir parçası olarak yayınlanan güncellemeler, dünya çapında birden fazla kuruluşta kurumsal kimlik doğrulama sistemlerinde yanlışlıkla önemli bir bozulmaya neden oldu.
Kimlik doğrulama hataları, kırık oturum açma sayfaları olarak kendini gösterir ve özellikle yarıçap kimlik doğrulaması, SAML uygulamaları ve özel kimlik sağlayıcısı (IDP) yapılandırmalarına dayalı ikili yapılandırmaları kullanan ortamları etkileyen NetScaler ağ geçidi portallarına erişememek.
Bu kimlik doğrulama yöntemlerine dayanan kuruluşlar, tam hizmet kesintileri bildirmiştir ve BT ekiplerini iş sürekliliğini korumak için acil durum geçici çözümleri uygulamaya zorlar.
Kök neden, en son NetScaler derlemelerinde varsayılan olarak İçerik Güvenliği İlkesi (CSP) başlıklarının otomatik olarak etkinleştirilmesi olarak tanımlanmıştır.
CSP başlıkları, siteler arası komut dosyası (XSS) ve kod enjeksiyon saldırılarını azaltmak için tasarlanmış olsa da, ani aktivasyonları, güncellemeden önce düzgün çalışan mevcut kimlik doğrulama komut dosyaları ve üçüncü taraf entegrasyonlarla uyumluluk sorunları yarattı.
Citrix analistleri, sorunun, daha önce kısıtlama olmadan yürütülmesine izin verilen meşru komut dosyalarını ve kaynakları engelleyen katı CSP kurallarından kaynaklandığını belirlediler.
Politikanın kısıtlayıcı doğası, tarayıcı tabanlı tehditlere karşı güvenliği artırırken, işletmelerin zamanla konuşlandırdığı birçok özel kimlik doğrulama yapılandırmasıyla uyumsuz olduğunu kanıtladı ve işlevsellik çatışmasına karşı beklenmedik bir güvenlik yarattı.
Teknik çözünürlük ve azaltma
Acil krizi ele almak için Citrix, yöneticilerin NetScaler komut satırı arabirimi aracılığıyla varsayılan CSP başlığını devre dışı bırakmasını gerektiren geçici bir geçici çözüm sağlamıştır.
Çözüm, etkilenen sistemlerde belirli komutların yürütülmesini içerir:-
set aaa parameter -defaultCSPHeader DISABLED
save ns configAyrıca, yöneticiler komutu kullanarak önbelleği temizlemelidir flush cache contentgroup loginstaticobjects Etkilenen tüm kimlik doğrulama sistemlerinde değişikliklerin anında uygulanmasını sağlamak.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi