Уязвимость в Citrix Application Delivery Controller и Citrix Unified Gateway позволяет запускать в корпоративной сети произвольный код без авторизации

Уязвимость в двух продуктах Citrix открывает возможность запуска в корпоративной сети произвольного кода без какой-либо авторизации. 

Критические уязвимости в разработках Citrix - Application Delivery Controller и Unified Gateway - ставят под угрозу внутренние сети около 80 тыс. фирм по всему миру. Из-за этих ошибок у злоумышленников появляется возможность запуска произвольного кода на атакованных машинах.

Citrix Application Delivery Controller (ранее известный как Netscaler ADC) предназначен для балансировки нагрузки и мониторинга, в то время как Gateway обеспечивает возможность безопасного (по идее) удалённого доступа к внутренним корпоративным приложениям - и сетевым, и десктопным.

Citrix опубликовала бюллетень с предупреждением, что уязвимости в упомянутых службах позволяют потенциальным злоумышленникам производить запуск произвольного кода без какой-либо авторизации на устройстве.

Citrix опубликовал промежуточные рекомендации по защите от уязвимости. Предлагаемые меры сводятся к блокировке определённых SSL-запросов в VPN-сетях. По-видимому, именно в этих фрагментах кода и содержатся ключевые уязвимости.

Рассматривать это как окончательное решение вопроса не представляется возможным: SSL VPN - это безопасный туннель в удалённую сеть, использующий защищённый протокол SSL. Ограничения его функциональности могут лишать смысла само его использование. В то же время эксплуатация уязвимости обеспечивает хакерам «ковровую дорожку» во внутренние сети компаний, использующие Citrix ADC и Unified Gateway.

Уязвимость получила индекс CVE-2019-19781, однако никаких подробностей о ней пока не опубликовано. Известно лишь, что уязвимыми являются версии Citrix ADC и Unified Gateway 10.5, 11.1, 12.0, 12.1 и 13.0.

Citrix обещает выпустить патчи в ближайшее время.

Другие новости