CVE-2023-3519: Hitelesítés nélküli távoli kódfuttatási sérülékenység a Citrix ADC és Gateway rendszerekben

Ebben a blogbejegyzésben a CVE-2023-3519 azonosítójú kritikus biztonsági hibát mutatjuk be, amely a Citrix Application Delivery Controller (ADC) és a Citrix Gateway rendszereket érinti. A sérülékenység lehetővé teszi, hogy a támadó hitelesítés nélkül távoli kódfuttatást (RCE) hajtson végre.

Mi ez a sérülékenység?

Ez a sérülékenység lehetővé teszi, hogy egy támadó tetszőleges parancsokat hajtson végre egy sebezhető Citrix ADC vagy Gateway rendszeren anélkül, hogy bármilyen hitelesítési lépésen keresztülmenne. A támadó csupán egy megfelelően kialakított kérést küld a célrendszerre.

Hogyan működik?

A hiba az ADC és Gateway rendszerek HTTP-kérelmek feldolgozásában rejlik – különösen a JSON (JavaScript Object Notation) objektumokat érintő logikában. Egy támadó olyan rosszindulatú JSON-objektumot tud küldeni, amely kódfuttatáshoz vezet a célrendszeren.

Kik érintettek?

Bármely szervezet vagy egyéni felhasználó, aki Citrix ADC-t (korábban NetScaler ADC) vagy Citrix Gateway-t használ, érintett lehet, ha a rendszerük az érintett verziók valamelyikét futtatja. A részletekért lásd a hivatalos Citrix biztonsági közleményt.

Enyhítési lépések

Citrix biztonsági frissítéseket adott ki az érintett verziókhoz, amelyek javítják a hibát. Erősen ajánlott a rendszerek mielőbbi frissítése. Ezen kívül, amíg a frissítés nem történik meg, a következő lépések ajánlottak:

• A sérülékeny szolgáltatásokhoz való internetes hozzáférés korlátozása
• Tűzfal- vagy hálózati szintű szűrés alkalmazása

Hivatkozott források

• Citrix biztonsági közlemény: CVE-2023-3519, CVE-2023-3466 és CVE-2023-3467
• Packet Storm – Citrix ADC & NetScaler távoli kódfuttatás
• GitHub – PoC: BishopFox
• GitHub – PoC: getdrive

Források

• https://cveawg.mitre.org/api/cve/CVE-2023-3519
• https://github.com/BishopFox/CVE-2023-3519