最后更新于2023年8月10日星期四20:40:50 GMT
On Tuesday, July 18, Citrix 发布安全公告 警告用户三个影响NetScaler ADC和NetScaler网关的新漏洞. 在三个漏洞中, CVE-2023-3519是最成功的漏洞利用,它允许未经身份验证的攻击者在配置为网关的易受攻击的目标系统上远程执行代码.
- CVE-2023-3466:反映的跨站攻击漏洞——成功利用需要受害者在连接到NetScaler IP (NSIP)的网络上访问浏览器中攻击者控制的链接
- CVE-2023-3467:允许权限升级到root管理员(nsroot)
- 未经身份验证的远程代码执行-NOTE 设备必须配置为网关(VPN)虚拟服务器, ICA Proxy, CVPN, RDP代理)或AAA 虚拟 服务器
根据该公告,CVE-2023-3519已经在野外被利用.
On July 20, the U.S. 网络安全和基础设施安全局(CISA) 发布详细公告 观察到的攻击者活动. 公告指出,威胁行为者利用CVE-2023-5319作为零日漏洞,在关键基础设施组织的非生产环境NetScaler ADC设备上投放了一个webshell. webshell使攻击者能够在受害者的活动目录(AD)上执行发现,并收集和泄露AD数据."
该产品线是所有技能水平的攻击者的热门目标, 我们预计这种剥削会迅速增加. Rapid7强烈建议在紧急情况下更新到固定版本, 无需等待典型的补丁周期发生. See the Citrix advisory for more information.
Affected Products
According to Citrix, 以下支持的NetScaler ADC和NetScaler网关版本受此漏洞影响:
- NetScaler ADC和NetScaler网关.1 before 13.1-49.13
- NetScaler ADC和NetScaler网关.0 before 13.0-91.13
- NetScaler ADC 13.1-FIPS before 13.1-37.159
- NetScaler ADC 12.1-FIPS before 12.1-65.36
- NetScaler ADC 12.1-NDcPP before 12.65.36
该咨询指出,NetScaler ADC和NetScaler网关版本12.1是生命终结(EOL),是脆弱的. Citrix建议使用EOL版本的客户将其设备升级到以下支持的固定版本之一.
下面修复了所有三个cve fixed product versions:
- NetScaler ADC 和NetScaler网关.1-49.13 and later releases
- NetScaler ADC 和NetScaler网关.0-91.13 及以后的版本.0
- NetScaler ADC 13.1-FIPS 13.1-37.159 and later releases of 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-65.36 and later releases of 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-65.36 and later releases of 12.1-NDcPP
Mitigation guidance
针对易受攻击的NetScaler ADC和NetScaler Gateway版本提供了补丁,应在紧急情况下应用. For more information, see Citrix’s advisory.
CISA's bulletin 是否有一个可以帮助寻找威胁的攻击者行为和工件的广泛列表.
Rapid7 customers
截至7月18日,InsightVM和expose客户可以使用所有三个cve的身份验证漏洞检查, 2023 content update.
