Citrix призывает администраторов немедленно исправить эти опасные недостатки

Citrix призывает администраторов немедленно исправить эти опасные недостатки

9 ноября 2022 г.

Citrix выпустила исправление для трех серьезных уязвимостей, обнаруженных в двух своих популярных продуктах, и призывает пользователей немедленно установить исправление.

Компания устранила три уязвимости, обнаруженные в Citrix ADC. и Citrix Gateway. ADC — это решение для балансировки нагрузки для облачных приложений, по-видимому, используемое многими предприятиями для обеспечения бесперебойной доступности и высокой производительности.

Шлюз, с другой стороны, представляет собой VPN службу SSL, которая обеспечивает безопасный удаленный доступ с функциями управления идентификацией и доступом, а также связанный недостаток был «широко развернут» в облаке или на локальных серверах компании.

Допускается злоупотребление при определенных обстоятельствах

Рассматриваемые недостатки отслеживаются как CVE-2022-27510, CVE-2022-27513 и CVE-2022-25716. Первый позволяет злоумышленникам обходить меры аутентификации, используя альтернативные пути и каналы. Чтобы злоупотребить недостатком, шлюз должен быть настроен как VPN.

Вторая уязвимость — недостаточная проверка подлинности данных, которая позволяет злоумышленникам захватить рабочий стол конечная точка удаленно, с помощью фишинга. Из-за этой уязвимости шлюз должен быть настроен как VPN, а также с настроенными функциями прокси-сервера RDP.

Последний недостаток позволяет киберпреступникам обходить механизмы защиты от грубой силы входа в систему. Чтобы использовать эту уязвимость, устройство должно быть настроено как VPN или виртуальный сервер AAA с конфигурацией «Макс. количество попыток входа».

"Обратите внимание, что только устройства, работающие в качестве шлюза (устройства, использующие функции SSL VPN или развернутые в качестве прокси-сервера ICA с включенной аутентификацией), подвержены первой проблеме, которая оценивается как уязвимость критической степени серьезности", — пояснила Citrix. .

"Затронутым клиентам Citrix ADC и Citrix Gateway рекомендуется как можно скорее установить соответствующие обновленные версии Citrix ADC или Citrix Gateway", — добавила компания.

Здесь список затронутого программного обеспечения и его версий:

  • Citrix ADC и Citrix Gateway 13.1 до 13.1–33.47
  • Citrix ADC и Citrix Gateway 13.0 до 13.0–88.12
  • Citrix ADC и Citrix Gateway 12.1 до 12.1.65.21
  • Citrix ADC 12.1-FIPS до 12.1–55.289
  • Citrix ADC 12.1-NDcPP до 12.1–55.289

Через: BleepingComputer


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE