![[Tool] Sử dụng AsvScan để giảm thiểu các cuộc tấn công mạng khi có IOCs](https://quantribaomat.com/uploads/images/202406/image_430x256_667e3a37b171f.webp)
.jpg)
How to fix Citrix ADC and Citrix Gateway Security Bulletin
Bài viết này sẽ hướng dẫn fix các lỗ hổng CVE-2023-3519, CVE-2023-3466, CVE-2023-3467
Mô tả vấn đề
Nhiều lỗ hổng đã được phát hiện trong NetScaler ADC (trước đây là Citrix ADC) và NetScaler Gateway (trước đây là Citrix Gateway).
Các phiên bản được hỗ trợ sau đây của NetScaler ADC và NetScaler Gateway bị ảnh hưởng bởi các lỗ hổng:
-
NetScaler ADC và NetScaler Gateway 13.1 trước 13.1-49.13
-
NetScaler ADC và NetScaler Gateway 13.0 trước 13.0-91.13
-
NetScaler ADC 13.1-FIPS trước 13.1-37.159
-
NetScaler ADC 12.1-FIPS trước 12.1-55.297
-
NetScaler ADC 12.1-NDcPP trước 12.1-55.297
Lưu ý: NetScaler ADC và NetScaler Gateway phiên bản 12.1 hiện là End Of Life (EOL) và dễ bị tấn công.
Bản tin này chỉ áp dụng cho NetScaler ADC và NetScaler Gateway do khách hàng quản lý. Khách hàng sử dụng dịch vụ đám mây do Citrix quản lý hoặc Xác thực thích ứng do Citrix quản lý không cần thực hiện bất kỳ hành động nào.
|
ID CVE |
Sản phẩm bị ảnh hưởng |
Sự miêu tả |
điều kiện tiên quyết |
CWE |
CVSS |
|
CVE-2023-3466 |
Citrix ADC, Cổng Citrix |
Tập lệnh chéo trang được phản ánh (XSS) |
Yêu cầu nạn nhân truy cập vào liên kết do kẻ tấn công kiểm soát trong trình duyệt khi đang ở trên mạng có kết nối với NSIP |
CWE-20 |
8,3 |
|
CVE-2023-3467 |
Citrix ADC, Cổng Citrix |
Nâng cao đặc quyền cho quản trị viên gốc (nsroot) |
Quyền truy cập được xác thực vào NSIP hoặc SNIP với quyền truy cập giao diện quản lý |
CWE-269 |
8 |
|
CVE-2023-3519 |
Citrix ADC, Cổng Citrix |
Thực thi mã từ xa không được xác thực |
Công cụ phải được định cấu hình làm Cổng (máy chủ ảo VPN, Proxy ICA, CVPN, Proxy RDP) HOẶC máy chủ ảo AAA |
CWE-94 |
9,8 |
Bạn nên làm gì?
Việc khai thác CVE-2023-3519 trên các thiết bị rất nguy hiểm. Cloud Software Group hết sức khuyến khích các khách hàng bị ảnh hưởng của NetScaler ADC và NetScaler Gateway cài đặt các phiên bản cập nhật có liên quan càng sớm càng tốt.
-
NetScaler ADC và NetScaler Gateway 13.1-49.13 trở lên
-
NetScaler ADC và NetScaler Gateway 13.0-91.13 và các phiên bản mới hơn của 13.0
-
NetScaler ADC 13.1-FIPS 13.1-37.159 và các bản phát hành mới hơn của 13.1-FIPS
-
NetScaler ADC 12.1-FIPS 12.1-55.297 và các bản phát hành mới hơn của 12.1-FIPS
-
NetScaler ADC 12.1-NDcPP 12.1-55.297 và các bản phát hành mới hơn của 12.1-NDcPP
Lưu ý: NetScaler ADC và NetScaler Gateway phiên bản 12.1 hiện là End Of Life (EOL). Khách hàng nên nâng cấp thiết bị của mình lên một trong những phiên bản được hỗ trợ để giải quyết các lỗ hổng.
Hướng dẫn update
Lưu ý : Bạn nên nâng cấp lên một bản phát hành chính tại một thời điểm. Ví dụ: nếu ADC của bạn đang chạy 12.1 thì đường dẫn nâng cấp được đề xuất là 12.1 > 13.0 > 13.1.
Ngoài ra, việc nâng cấp được đề xuất thực hiện thông qua CLI (putty) thay vì GUI.
Tải xuống hình ảnh từ đây: https://www.citrix.com/downloads/citrix-adc/
Các bước thực hiện::
-
Mở WinSCP
-
Đăng nhập vào ADC sử dụng Winscp (SFTP protocol)
-
Đi đến var/nsinstall: cd var/nsinstall
-
Tạo thư mục mới và copy phiên bản muốn nâng cấp vào thư mục này.
-
Sử dụng Putty truy cập đến ADC
-
Truy cập đến thư mục vừa tạo: cd var/nsinstall/
-
Giải nén file .tgz: tar -zxvf
-
Chạy lệnh sau: ./installns
-
Sau khi cài đặt xong reboot lại ADC.
Lưu ý: Nếu ADC của bạn đang chạy trên HA, trước tiên hãy nâng cấp ADC phụ, sau đó mới nâng cấp ADC chính.
Khi cả hai ADC đều ở trên cùng một phiên bản, hãy lặp lại các bước để nâng cấp lên phiên bản tiếp theo.
Tham khảo thêm: https://docs.netscaler.com/en-us/citrix-adc/current-release/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.html
Cảm xúc của bạn?
