«Баг» в двух продуктах Citrix открывает возможность запуска в корпоративной сети произвольного кода без какой-либо авторизации. Хотя речь идёт о разных продуктах, уязвимости в них объединены под одним индексом.
Два продукта, «баг» один
Критические уязвимости в разработках Citrix - Application Delivery Controller и Gateway - ставят под угрозу внутренние сети около 80 тыс. фирм по всему миру. Из-за этих ошибок у злоумышленников появляется возможность запуска произвольного кода на атакованных машинах.
Citrix Application Delivery Controller (ранее известный как Netscaler ADC) предназначен для балансировки нагрузки и мониторинга, в то время как Gateway обеспечивает возможность безопасного (по идее) удалённого доступа к внутренним корпоративным приложениям - и сетевым, и десктопным.
Citrix опубликовала бюллетень с предупреждением, что уязвимости в упомянутых службах позволяют потенциальным злоумышленникам производить запуск произвольного кода без какой-либо авторизации на устройстве.
По данным фирмы Positive Technologies, которая первой обнаружила «баги», уязвимости появились не позднее 2014 года и с тех пор присутствуют во всех версиях приложений. «Как минимум 80 тысяч компаний в 158 странах находятся под угрозой», - утверждают эксперты Positive.
Промежуточные контрмеры
Citrix опубликовал промежуточные рекомендации по защите от уязвимости. Предлагаемые меры сводятся к блокировке определённых SSL-запросов в VPN-сетях. По-видимому, именно в этих фрагментах кода и содержатся ключевые уязвимости.
- Рассматривать это как окончательное решение вопроса не представляется возможным: SSL VPN - это безопасный туннель в удалённую сеть, использующий защищённый протокол SSL, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Ограничения его функциональности могут лишать смысла само его использование. В то же время эксплуатация уязвимости обеспечивает хакерам «ковровую дорожку» во внутренние сети компаний, использующие Citrix ADC и Gateway.
Уязвимость получила индекс CVE-2019-19781, однако никаких подробностей о ней пока не опубликовано. Известно лишь, что уязвимыми являются версии Citrix ADC и Unified Gateway 10.5, 11.1, 12.0, 12.1 и 13.0.
Citrix обещает выпустить патчи в ближайшее время.
Источник: cnews.ru
