最后更新于2023年8月10日星期四20:40:50 GMT
周二,7月18日,思杰 发布安全公告 警告用户三个影响NetScaler ADC和NetScaler网关的新漏洞. 在三个漏洞中, CVE-2023-3519是最成功的漏洞利用,它允许未经身份验证的攻击者在配置为网关的易受攻击的目标系统上远程执行代码.
- CVE-2023-3466:反映的跨站攻击漏洞——成功利用需要受害者在连接到NetScaler IP (NSIP)的网络上访问浏览器中攻击者控制的链接
- CVE-2023-3467:允许权限升级到root管理员(nsroot)
- 未经身份验证的远程代码执行-请注意 设备必须配置为网关(VPN)虚拟服务器, ICA代理, CVPN, RDP代理)或AAA 虚拟 服务器
根据该公告,CVE-2023-3519已经在野外被利用.
7月20日,美国政府宣布.S. 网络安全和基础设施安全局(CISA) 发布详细公告 观察到的攻击者活动. 公告指出,威胁行为者利用CVE-2023-5319作为零日漏洞,在关键基础设施组织的非生产环境NetScaler ADC设备上投放了一个webshell. webshell使攻击者能够在受害者的活动目录(AD)上执行发现,并收集和泄露AD数据."
该产品线是所有技能水平的攻击者的热门目标, 我们预计这种剥削会迅速增加. Rapid7强烈建议在紧急情况下更新到固定版本, 无需等待典型的补丁周期发生. 看到 Citrix咨询 了解更多信息.
受影响的产品
根据思杰的说法, 以下支持的NetScaler ADC和NetScaler网关版本受此漏洞影响:
- NetScaler ADC和NetScaler网关.前1 13.1-49.13
- NetScaler ADC和NetScaler网关.0 前13.0-91.13
- NetScaler ADC 13.1-FIPS前13.1-37.159
- NetScaler ADC 12.1-FIPS之前12.1-65.36
- NetScaler ADC 12.1-NDcPP前12.65.36
该咨询指出,NetScaler ADC和NetScaler网关版本12.1是生命终结(EOL),是脆弱的. Citrix建议使用EOL版本的客户将其设备升级到以下支持的固定版本之一.
下面修复了所有三个cve 固定 产品版本:
- NetScaler ADC 和NetScaler网关.1-49.13及以后的版本
- NetScaler ADC 和NetScaler网关.0-91.13 及以后的版本.0
- NetScaler ADC 13.1-FIPS 13.1-37.159和以后的版本13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-65.36和后来的12个版本.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-65.36和后来的12个版本.1-NDcPP
缓解指导
针对易受攻击的NetScaler ADC和NetScaler Gateway版本提供了补丁,应在紧急情况下应用. 有关更多信息,请参见 Citrix的咨询.
中钢协 公告 是否有一个可以帮助寻找威胁的攻击者行为和工件的广泛列表.
Rapid7客户
截至7月18日,InsightVM和expose客户可以使用所有三个cve的身份验证漏洞检查, 2023年内容更新.
