BDU:2022-07316: Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway), позволяющая нарушителю выполнить произвольный код

Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway) связана с недостаточным контролем ресурса в период его существования. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование многофакторной аутентификации в Citrix ADC; - использование виртуальных частных сетей для организации удаленного доступа (VPN); - ограничение доступа из внешних сетей (Интернет). Устройство является уязвимым в случае наличия в файле ns.conf следующих команд: add authentication samlAction add authentication samlIdPProfile Сигнатуры Yara-правил, используемые для выявления вредоносных программ, эксплуатирующих уязвимость: rule tricklancer_a { strings: $str1 = "//var//log//ns.log" nocase ascii wide $str2 = "//var//log//cron" nocase ascii wide $str3 = "//var//log//auth.log" nocase ascii wide $str4 = "//var//log//httpaccess-vpn.log" nocase ascii wide $str5 = "//var//log//nsvpn.log" nocase ascii wide $str6 = "TF:YYYYMMddhhmmss" nocase ascii wide $str7 = "//var//log//lastlog" nocase ascii wide $str8 = "clear_utmp" nocase ascii wide $str9 = "clear_text_http" nocase ascii wide condition: 7 of ($str*) } rule tricklancer_b { strings: $str1 = "nsppe" nocase ascii wide $str2 = "pb_policy -h nothing" nocase ascii wide $str3 = "pb_policy -d" nocase ascii wide $str4 = "findProcessListByName" nocase ascii wide $str5 = "restoreStateAndDetach" nocase ascii wide $str6 = "checktargetsig" nocase ascii wide $str7 = "DoInject" nocase ascii wide $str8 = "DoUnInject" nocase ascii wide condition: 7 of ($str*) } rule tricklancer_c { strings: $str1 = "is_path_traversal_or_vpns_attack_request" nocase ascii wide $str2 = "ns_vpn_process_unauthenticated_request" nocase ascii wide $str3 = "mmapshell" nocase ascii wide $str4 = "DoUnInject" nocase ascii wide $str5 = "CalcDistanse" nocase ascii wide $str6 = "checkMyData" nocase ascii wide $str7 = "vpn_location_url_len" nocase ascii wide condition: 5 of ($str*) } Использование рекомендаций производителя: https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

• https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-secur…