Идентификатор: BDU:2022-07316.
Наименование уязвимости: Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway), позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway) связана с недостаточным контролем ресурса в период его существования. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: ПО виртуализации/ПО виртуального программно-аппаратного средства Citrix Systems Inc. Citrix Gateway от 12.1 до 12.1-65.25 | ПО виртуализации/ПО виртуального программно-аппаратного средства Citrix Systems Inc. Citrix Gateway от 13.0 до 13.0-58.32 | Сетевое средство, Сетевое программное средство Citrix Systems Inc. Citrix ADC от 12.1 до 12.1-55.291 | Сетевое средство, Сетевое программное средство Citrix Systems Inc. Citrix ADC от 12.1 до 12.1-65.25 | Сетевое средство, Сетевое программное средство Citrix Systems Inc. Citrix ADC от 13.0 до 13.0-58.32 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 13.12.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
– использование многофакторной аутентификации в Citrix ADC;
– использование виртуальных частных сетей для организации удаленного доступа (VPN);
– ограничение доступа из внешних сетей (Интернет).
Устройство является уязвимым в случае наличия в файле ns.conf следующих команд:
add authentication samlAction
add authentication samlIdPProfile
Сигнатуры Yara-правил, используемые для выявления вредоносных программ, эксплуатирующих уязвимость:
rule tricklancer_a {
strings:
$str1 = "//var//log//ns.log" nocase ascii wide
$str2 = "//var//log//cron" nocase ascii wide
$str3 = "//var//log//auth.log" nocase ascii wide
$str4 = "//var//log//httpaccess-vpn.log" nocase ascii wide
$str5 = "//var//log//nsvpn.log" nocase ascii wide
$str6 = "TF:YYYYMMddhhmmss" nocase ascii wide
$str7 = "//var//log//lastlog" nocase ascii wide
$str8 = "clear_utmp" nocase ascii wide
$str9 = "clear_text_http" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_b {
strings:
$str1 = "nsppe" nocase ascii wide
$str2 = "pb_policy -h nothing" nocase ascii wide
$str3 = "pb_policy -d" nocase ascii wide
$str4 = "findProcessListByName" nocase ascii wide
$str5 = "restoreStateAndDetach" nocase ascii wide
$str6 = "checktargetsig" nocase ascii wide
$str7 = "DoInject" nocase ascii wide
$str8 = "DoUnInject" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_c {
strings:
$str1 = "is_path_traversal_or_vpns_attack_request" nocase ascii wide
$str2 = "ns_vpn_process_unauthenticated_request" nocase ascii wide
$str3 = "mmapshell" nocase ascii wide
$str4 = "DoUnInject" nocase ascii wide
$str5 = "CalcDistanse" nocase ascii wide
$str6 = "checkMyData" nocase ascii wide
$str7 = "vpn_location_url_len" nocase ascii wide
condition:
5 of ($str*)
}
Использование рекомендаций производителя:
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-27518.
Тип ошибки CWE: CWE-664
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
