Flera sårbarheter i Citrix Netscaler ADC och Netscaler Gateway

Sårbarhet Citrix Citrix Netscaler ADC Citrix Netscaler Gateway

Citrix varnar om en kritisk samt en allvarlig sårbarhet som påverkar produktserierna Citrix ADC och Netscaler Gateway [1].

Den kritiska sårbarheten (CVE-2023-4966) har fått CVSS-klassning 9.4 av 10 och kan om den utnyttjas innebära att känslig information läcker ut.

Utöver denna rapporterar Citrix även om en allvarlig sårbarhet (CVE-2023-4967, CVSS-klassning 8.2) som påverkar samma produktserier och som kan innebära nekad åtkomst.

Det är endast egenmanagerade produkter som omfattas, använder man molnversionen behövs inga åtgärder. Båda sårbarheterna kräver också att en enhet är konfigurerad som en Gateway eller virtuell AAA-server för att kunna påverkas.

Uppdatering 2023-10-19

Sårbarheten CVE-2023-4966 har enligt information från Mandiant utnyttjats aktivt sedan slutet på augusti i år. [2]

Uppdatering 2023-10-27

Citrix bekräftar att de fått trovärdig information om att sårbarheten utnyttjas aktivt. Förutom att snarast installera säkerhetsuppdateringen, så rekommenderar man även att döda aktiva sessioner, för att undvika sessions-hijacking. Se vidare rekommendationer från Citrix/Netscaler. [3]

Shadowserver skriver på X den 25 oktober att man noterar från deras honeypots noterar en kraftig ökning av försök att utnyttja sårbarheten. [4] En proof of concept för hur sårbarheten kan utnyttjas finns tillgänglig.

CERT-SE vill därför återigen trycka på att snarast uppdatera.

Uppdatering 2023-11-09

CISA har publicerat ett antal råd gällande sårbarheterna. [5]

CERT-SE:s tidigare rekommendation om att skyndsamt uppdatera sårbara system kvarstår. Dessutom bör man gå igenom sin it-miljö och analysera om det finns någon misstänkt aktivitet i något system till följd av att sårbarheterna utnyttjats.

Uppdatering 2023-11-20

Citrix/Netscaler utvecklar rekommmendationer hur man kan undersöka om CVE-2023-4966 utnyttjas. Se mer information i publicerad artikel [6].

Påverkade produkter

Sårbarheterna berör följande versioner av NetScaler ADC och NetScaler Gateway:

14.1 (tidigare versioner än version 14.1-8.50)
13.1 (tidigare versioner än version 13.1-49.15)
13.0 (tidigare versioner än version 13.0-92.19)
13.1-FIPS (tidigare versioner än version 13.1-37.164)
12.1-FIPS (tidigare versioner än version 12.1-55.300)
12.1-NDcPP (tidigare versioner än version 12.1-55.300)

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringar så snart de finns tillgängliga.

Källor

[1] https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

[2] https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966

[3] https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-update-now-available-for-netscaler-adc-and-netscaler-gateway/

[4] https://twitter.com/Shadowserver/status/1717024004488442269

[5] https://www.cisa.gov/guidance-addressing-citrix-netscaler-adc-and-gateway-vulnerability-cve-2023-4966-citrix-bleed

[6] https://www.netscaler.com/blog/news/netscaler-investigation-recommendations-for-cve-2023-4966/