Citrix, belirli koşullar altında ayrıcalık artışına yol açabilecek NetScaler konsolunu (eski adıyla NetScaler ADM) ve NetScaler Agent’ı etkileyen yüksek şiddetli bir güvenlik kusuru için güvenlik güncellemeleri yayınladı.
Güvenlik açığı, CVE-2024-12284maksimum 10.0 üzerinden 8,8 CVSS V4 puanı verildi
NetScaler Konsol Aracısı dağıtılırsa ve bir saldırganın kontra satış sonrası eylemleri yürütmesine izin verilirse, kimliği doğrulamalı ayrıcalık artışına yol açabilecek uygunsuz ayrıcalık yönetimi vakası olarak tanımlanmıştır.
NetScaler, “Sorun yetersiz ayrıcalık yönetimi nedeniyle ortaya çıkıyor ve ek yetkilendirme olmadan komutları yürütmek için doğrulanmış bir kötü amaçlı aktör tarafından kullanılabilir.”
“Bununla birlikte, yalnızca NetScaler konsoluna mevcut erişimi olan kimlik doğrulamalı kullanıcılar bu güvenlik açığından yararlanabilir, böylece tehdit yüzeyini yalnızca kimliği doğrulanmış kullanıcılarla sınırlandırabilir.”
Kesintisiz aşağıdaki sürümleri etkiler –
- NetScaler Konsolu 14.1 14.1-38.53’ten önce
- 13.1-56.18’den önce NetScaler Konsolu 13.1
- NetScaler Agent 14.1 14.1-38.53’ten önce
- NetScaler Agent 13.1 13.1-56.18’den önce
Yazılımın aşağıdaki sürümlerinde düzeltildi –
- NetScaler Konsolu 14.1-38.53 ve sonraki sürümler
- NetScaler Konsolu 13.1-56.18 ve daha sonraki sürümler 13.1
- NetScaler Agent 14.1-38.53 ve sonraki sürümler
- NetScaler Agent 13.1-56.18 ve daha sonraki sürümler 13.1
“Cloud Software Group, NetScaler Konsolu ve NetScaler Agent müşterilerini, ilgili güncellenmiş sürümleri mümkün olan en kısa sürede yüklemeye şiddetle teşvik ediyor.” Dedi.
Bununla birlikte, Citrix tarafından yönetilen NetScaler konsol hizmetini kullanan müşterilerin herhangi bir işlem yapmasına gerek yoktur.