خلاصه
سیتریکس به تازگی یک خبرنامه امنیتی درباره یک آسیبپذیری حیاتی با کد CVE-2022-27518 منتشر کرده که بر محصولات ADC و درگاه سیتریکس تأثیرگذار هستند. مهاجمان با سوءاستفاده موفق از این آسیبپذیری میتوانند از راه دور و بدون احراز هویت کدهای دلخواه را روی تجهیزات شبکه اجرا کنند.
بنا به گفته NSA: «گروه APT5 در حال سوءاستفاده از این آسیبپذیری است». این گروه چند سال پیش هم از آسیبپذیریهای ویپیان Pulse Secure استفاده کرده بودند. اکیداً توصیه میشود که در اسرع وقت جدیدترین بهروزرسانی امنیتی را نصب کنید.
جزئیات فنی
وجود آسیبپذیری روز صفر CVE-2022-27518 ناشی از کنترل نامناسب منابع از طریق طول عمرشان است. در صورت پیکربندی درگاه یا ADC سیتریکس به صورت یک SAML SP یا SAML IdP، امکان سوءاستفاده از این آسیبپذیری وجود خواهد داشت.
محصولات تحت تأثیر
نسخههای زیر از درگاه سیتریکس و ADC سیتریکس تحت تأثیر این آسیبپذیری قرار دارند:
- ADC و درگاه سیتریکس 13.0 پیش از 0-58.32
- ADC و درگاه سیتریکس 12.1 پیش از 1-65.25
- Citrix ADC 12.1-FIPS پیش از 1-55.291
- Citrix ADC 12.1-NDcPP پیش از 1-55.291
این آسیبپذیری تأثیری بر نسخه ADC و درگاه سیتریکس ندارد. همچنین برای سرویسهای ابر یا احراز هویت تطبیقپذیر تحت مدیریت سیتریکس نیاز به انجام کاری نیست.
برای تشخیص اینکه درگاه یا ADC سیتریکس به صورت یک SAML SP یا SAML IdP پیکربندی شده یا خیر، فایل ns.conf را بررسی کرده و فرمانهای زیر را در آن پیدا کنید:
- add authentication samlAction – وسیله مدنظر به صورت یک SAML SP پیکربندی شده؛
- add authentication samlIdPProfile – وسیله مدنظر به صورت یک SAML IdP پیکربندی شده است.
در صورت وجود هر یک از فرمانهای بالا در فایل ns.conf و اگر نسخه مورد استفاده جزو نسخههای آسیبپذیر است، باید بهروزرسانی انجام شود.
توصیهها
CERT-EU توصیه کرده که در اسرع وقت نسخههای زیر از ADC یا درگاه سیتریکس نصب شوند:
- نسخه 0-58.32 و یا جدیدتر از درگاه و ADC سیتریکس
- نسخه 1-65.25 و نسخههای جدیدتر از 12.1-FIPS برای Citrix ADC 12.1-FIPS
- نسخه 1-55.291 و نسخههای جدیدتر از 12.1-NDcPP برای Citrix ADC 12.1-NDcPP
توجه کنید که نسخههای پیش از 12.1 محصولات ADC و درگاه سیتریکس باید بهروزرسانی شده و یکی از نسخههای تحت پشتیبانی برای آنها نصب شود.
تشخیص
برای تشخیص احتمال نفوذ میتوانید از «NSA APT5: راهنمای شکار تهدید Citrix ADC» استفاده کنید.
منابع:
[1] support.citrix [2] bleepingcomputer [3] media.defense