Citrix NetScaler ADC ve NetScaler Gateway, savunmasız cihazlardan gelen hassas bilgilerin ifşa edilmesine olanak tanıyan kritik öneme sahip bir kusurdan etkileniyor.
Kusur şu şekilde izlenir: CVE-2023-4966 ve yüksek ayrıcalıklar, kullanıcı etkileşimi veya yüksek karmaşıklık gerektirmeden uzaktan yararlanılabilir olduğundan 9,4 CVSS derecelendirmesine sahiptir.
Ancak cihazın saldırılara açık olabilmesi için Ağ Geçidi (VPN sanal sunucusu, ICA Proxy, CVPN, RDP Proxy) veya AAA sanal sunucusu olarak yapılandırılmasının önkoşulu vardır.
Kusurun kötüye kullanılması “hassas bilgilerin ifşa edilmesine” yol açabilirken, satıcı hangi bilgilerin ifşa edildiğine dair herhangi bir ayrıntı vermedi.
Aynı bültende açıklanan ikinci bir güvenlik açığı ise CVE-2023-4967aynı önkoşulları taşıyan ve potansiyel olarak savunmasız cihazlarda hizmet reddine (DoS) neden olabilecek yüksek önem derecesine sahip (CVSS puanı: 8,2) bir kusurdur.
Citrix ürünlerinin etkilenen sürümleri şunlardır:
- NetScaler ADC ve NetScaler Gateway 14.1, 14.1-8.50 öncesi
- NetScaler ADC ve NetScaler Gateway 13.1, 13.1-49.15 öncesi
- NetScaler ADC ve NetScaler Gateway 13.0, 13.0-92.19’dan önce
- NetScaler ADC 13.1-FIPS, 13.1-37.164 öncesi
- NetScaler ADC 12.1-FIPS, 12.1-55.300 öncesi
- NetScaler ADC 12.1-NDcPP 12.1-55.300 öncesi
Önerilen eylem, iki kusura yönelik güvenlik güncellemelerini uygulayan sabit bir sürüme yükseltme yapmaktır. Citrix bu sefer herhangi bir hafifletme ipucu veya geçici çözüm sunmadı.
Citrix’in güvenlik bülteninde, “Bulut Yazılım Grubu, NetScaler ADC ve NetScaler Gateway’den etkilenen müşterilerin, NetScaler ADC ve NetScaler Gateway’in ilgili güncellenmiş sürümlerini mümkün olan en kısa sürede yüklemelerini şiddetle tavsiye etmektedir” deniyor.
Yükseltilecek hedef sürümler şunlardır:
- NetScaler ADC ve NetScaler Gateway 14.1-8.50 ve üzeri
- NetScaler ADC ve NetScaler Gateway 13.1-49.15 ve sonraki 13.1 sürümleri
- NetScaler ADC ve NetScaler Gateway 13.0-92.19 ve sonraki 13.0 sürümleri
- NetScaler ADC 13.1-FIPS 13.1-37.164 ve 13.1-FIPS’in sonraki sürümleri
- NetScaler ADC 12.1-FIPS 12.1-55.300 ve 12.1-FIPS’in sonraki sürümleri
- NetScaler ADC 12.1-NDcPP 12.1-55.300 ve 12.1-NDcPP’nin sonraki sürümleri
Sürüm 12.1’in kullanım ömrü (EOL) tarihine ulaştığı ve artık Citrix tarafından desteklenmeyeceği belirtiliyor. Bu nedenle kullanıcıların daha yeni, aktif olarak desteklenen bir sürüme yükseltmeleri önerilir.
Değerli varlıklara sahip büyük kuruluşlar bu cihazları kullandığından, Citrix ürünlerindeki kritik önemdeki kusurlar bilgisayar korsanları tarafından oldukça araştırılıyor.
Bu tür istismarın güncel bir örneği, Citrix’in Temmuz 2023’te sıfır gün olarak sabitlediği kritik bir uzaktan kod yürütme kusuru olan CVE-2023-3519’dur.
Bu kusur şu anda, arka kapı yerleştirmek ve kimlik bilgilerini çalmak için mevcut açıklardan yararlanan çok sayıda siber suçlu tarafından aktif olarak istismar edilmektedir.