Citrix Netscaler ADC e Gateway afflitti da una grave falla di DOS e Open Redirect

NetScaler ADC (precedentemente Citrix ADC) e il NetScaler Gateway (precedentemente Citrix Gateway) sono soluzioni consolidate per la distribuzione di applicazioni e l’accesso sicuro alle risorse aziendali. Questi dispositivi sono ampiamente utilizzati per migliorare le prestazioni delle applicazioni e garantire un accesso controllato e sicuro ai dati sensibili.

Sono state identificate due vulnerabilità critiche in NetScaler ADC e NetScaler Gateway. Le Versioni Interessate Le seguenti versioni supportate di NetScaler ADC e NetScaler Gateway sono vulnerabili:

• NetScaler ADC e NetScaler Gateway 14.1 prima della versione 14.1-25.53
• NetScaler ADC e NetScaler Gateway 13.1 prima della versione 13.1-53.17
• NetScaler ADC e NetScaler Gateway 13.0 prima della versione 13.0-92.31
• NetScaler ADC 13.1-FIPS prima della versione 13.1-37.183
• NetScaler ADC 12.1-FIPS prima della versione 12.1-55.304
• NetScaler ADC 12.1-NDcPP prima della versione 12.1-55.304

Nota: La versione 12.1 di NetScaler ADC e NetScaler Gateway è ora End Of Life (EOL) e pertanto vulnerabile. Si consiglia ai clienti di aggiornare i loro dispositivi alle versioni supportate.

Sommario delle Vulnerabilità NetScaler ADC e NetScaler Gateway presentano le seguenti vulnerabilità:

• CVE-2024-5491: Vulnerabilità di Denial of Service che colpisce gli appliance ADC o Gateway configurati con SNMP (NSIP/SNIP).
  • CWE: Improrer restriction delle operazioni all’interno dei limiti di un buffer di memoria
  • Punteggio Base CVSS v4.0: 7.1
• CVE-2024-5492: Vulnerabilità di reindirizzamento aperto che consente a un attaccante remoto e non autenticato di reindirizzare gli utenti verso siti web arbitrari.
  • CWE: Reindirizzamento URL verso siti non attendibili (‘Open Redirect’)
  • Punteggio Base CVSS v4.0: 5.1

Azioni Consigliate per i Clienti Cloud Software Group consiglia vivamente ai clienti interessati di NetScaler ADC e NetScaler Gateway di installare immediatamente le versioni aggiornate pertinenti:

• NetScaler ADC e NetScaler Gateway versione 14.1-25.53 e successive
• NetScaler ADC e NetScaler Gateway versione 13.1-53.17 e successive di 13.1
• NetScaler ADC e NetScaler Gateway versione 13.0-92.31 e successive di 13.0
• NetScaler ADC versione 13.1-FIPS 13.1-37.183 e successive
• NetScaler ADC versione 12.1-FIPS 12.1-55.304 e successive
• NetScaler ADC versione 12.1-NDcPP 12.1-55.304 e successive

Cloud Software Group desidera esprimere gratitudine nei confronti di Nanyu Zhong di VARAS@IIE e di Mauro Dini per il loro prezioso contributo nel garantire la sicurezza dei clienti Citrix.

Nel frattempo, Citrix sta informando attivamente i propri clienti e partner riguardo a queste importanti questioni di sicurezza tramite un bollettino pubblicato sul Citrix Knowledge Center, accessibile al seguente indirizzo: https://support.citrix.com/securitybulletins.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.