พบช่องโหว่ information disclosure ระดับ Critical ใน Citrix NetScaler ADC และ Citrix NetScaler Gateway ซึ่งอาจส่งผลให้มีการเปิดเผยข้อมูลที่มีความสำคัญ จากอุปกรณ์ที่มีช่องโหว่ได้
ช่องโหว่นี้มีหมายเลข CVE-2023-4966 และได้รับคะแนน CVSS ที่ระดับ 9.4 โดยช่องโหว่นี้สามารถถูกโจมตีจากภายนอกได้โดยไม่จำเป็นต้องใช้ User ที่มีสิทธิ์สูง การโต้ตอบจากผู้ใช้ และง่ายต่อการโจมตี
อย่างไรก็ตาม ช่องโหว่นี้จะส่งผลกระทบต่ออุปกรณ์ Citrix NetScaler ADC และ Citrix NetScaler Gateway ที่ถูกกำหนดค่าให้เป็น Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) หรือ AAA virtual server เท่านั้น
แม้ว่าช่องโหว่นี้อาจทำให้มีการเปิดเผยข้อมูลที่มีความสำคัญ แต่ Citrix ยังไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับช่องโหว่ดังกล่าว
อีกช่องโหว่ที่ถูกเปิดเผยคือ CVE-2023-4967 ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูง (คะแนน CVSS: 8.2) ที่มีเงื่อนไขในลักษณะเดียวกัน ซึ่งอาจทำให้เกิดการโจมตีแบบ denial of service (DoS) บนอุปกรณ์ที่มีช่องโหว่ได้
เวอร์ชันของ Citrix ได้รับผลกระทบมีดังนี้:
NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
NetScaler ADC 13.1-FIPS before 13.1-37.164
NetScaler ADC 12.1-FIPS before 12.1-55.300
NetScaler ADC 12.1-NDcPP before 12.1-55.300
โดยแนะนำให้ผู้ใช้งานอัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไขทั้ง 2 ช่องโหว่แล้ว โดยทาง Citrix ไม่ได้ให้คำแนะนำในการลดความเสี่ยง หรือวิธีแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่ครั้งนี้
ประกาศด้านความปลอดภัยของ Citrix ระบุว่า "แนะนำให้ลูกค้าที่ได้รับผลกระทบของ NetScaler ADC และ NetScaler Gateway ติดตั้งเวอร์ชันอัปเดตล่าสุดของ NetScaler ADC และ NetScaler Gateway โดยเร็วที่สุด"
เวอร์ชันเป้าหมายที่จะมีการอัปเกรดมีดังนี้:
NetScaler ADC and NetScaler Gateway 14.1-8.50 and later
NetScaler ADC and NetScaler Gateway 13.1-49.15 and later releases of 13.1
NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0
NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS
NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS
NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP
เวอร์ชัน 12.1 ของ Citrix NetScaler ADC และ Citrix NetScaler Gateway ได้ถึงวันที่สิ้นสุดการสนับสนุน (EOL) และจะไม่ได้รับการสนับสนุนจาก Citrix อีกต่อไป ดังนั้นผู้ใช้งานควรอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เพื่อให้ได้รับการสนับสนุนอย่างต่อเนื่อง
ช่องโหว่ที่มีระดับความรุนแรงสูงในผลิตภัณฑ์ของ Citrix เป็นสิ่งที่แฮ็กเกอร์ต้องการอย่างมาก เนื่องจากองค์กรขนาดใหญ่มักใช้อุปกรณ์เหล่านี้
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.