Citrix, Citrix ADC ve Citrix Gateway’de kritik bir kimlik doğrulama atlama sorununu düzeltmek için güvenlik yamaları yayınladı. Etkilenen Citrix ADC ve Citrix Gateway kullanıcılarının, bu ürünlerin ilgili güncellenmiş sürümlerini mümkün olduğunca erken yüklemeleri önerilir.
Citrix Gateway, kimlik ve erişim yönetimi yetenekleriyle güvenli uzaktan erişim sunan, yaygın olarak kullanılan bir bulut tabanlı veya şirket içi iş sunucusu SSL VPN hizmetidir.
Kurumsal olarak dağıtılan bulut uygulamaları için Citrix ADC, sürekli kullanılabilirliği ve en iyi performansı garanti eden bir yük dengeleme çözümüdür.
Citrix güvenlik bülteni, “Yalnızca Ağ Geçidi olarak çalışan cihazların (SSL VPN işlevini kullanan veya kimlik doğrulaması etkinleştirilmiş bir ICA proxy’si olarak dağıtılan cihazlar) Kritik önem derecesine sahip güvenlik açığı olarak derecelendirilen ilk sorundan etkilendiğini unutmayın.” .
Ele Alınan Güvenlik Açıkları
Şirket, genel olarak üç güvenlik açığını düzeltti. Üç kusur, saldırganların oturum açma kaba kuvvet korumasını atlamasına, uzak masaüstünü ele geçirmesine veya yapılandırmaya bağlı olarak cihaza yetkisiz erişim sağlamasına izin verebilir.
Alternatif bir yol veya kanal kullanarak kritik önem düzeyindeki kimlik doğrulamasından yalnızca uygulama VPN (Gateway) olarak yapılandırılmışsa yararlanılabilir.
Yetersiz veri orijinalliği doğrulaması, kimlik avı yoluyla uzak masaüstünün ele geçirilmesine izin verir. Bu sorun, yalnızca cihaz VPN (Gateway) olarak yapılandırılırsa ve RDP proxy işlevi yapılandırılırsa kullanılabilir.
Bu bir kullanıcı oturum açma kaba kuvvet koruma işlevi atlamasıdır. Bu güvenlik açığından yalnızca, cihaz VPN (Ağ Geçidi) veya “Maks. Oturum Açma Denemesi” yapılandırmasıyla AAA sanal sunucusu olarak yapılandırılırsa kullanılabilir.
Citrix ADC ve Citrix Gateway’in Aşağıdaki Sürümleri Bu Güvenlik Açısından Etkileniyor
- 13.1-33.47’den önce Citrix ADC ve Citrix Gateway 13.1
- 13.0-88.12 öncesi Citrix ADC ve Citrix Gateway 13.0
- 12.1.65.21 öncesi Citrix ADC ve Citrix Gateway 12.1
- 12.1-55.289 öncesi Citrix ADC 12.1-FIPS
- 12.1-55.289 öncesi Citrix ADC 12.1-NDcPP
Şirket, bunun müşteri tarafından yönetilen Citrix ADC ve Citrix Gateway cihazları için geçerli olduğunu söyledi. Citrix tarafından yönetilen bulut hizmetlerini kullanan müşterilerin herhangi bir işlem yapmasına gerek yoktur.
Özellikle, 12.1’den önceki Citrix ADC ve Citrix Gateway sürümleri EOL’dir ve bu sürümlerdeki müşterilerin desteklenen sürümlerden birine yükseltmeleri önerilir.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin