Центр мониторинга и реагирования UserGate сегодня предупредил об обнаружении критической уязвимости CVE-2023-3519.
CVE-2023-3519 – уязвимость, которая представляет собой переполнение стека в компонентах обработки SAML в NetScaler ADC и NetScaler Gateway. Для возможности эксплуатации затронутые устройства обязаны быть сконфигурированы как шлюз (например, виртуальный сервер VPN, ICA Proxy, CVPN, RDP Proxy) или виртуальный сервер аутентификации, авторизации и аудита (ААА) c включенным SAML. Уязвимость возникает при отправке слишком большего количества методов каноникализации или преображения в известьи SAML.
В функции `ns_aa_saml_parse_authn_request` полезная нагрузка SAML разбирается в структуру, содержащую внутри себя фиксированный массив значений метода каноникализации. В непропатченной версии не выполняется проверка границ массива и поэтому возможна запись в его конец, что приведёт к повреждению оставшейся части выделенной памяти. На настоящее время профессионалы Assetnote удачно реализовали удалённое выполнение команд через данную функцию.
Рейтинг
В соответствии с CVSSv3.1 уязвимости присвоен рейтинг: 9.8
Уязвимые версии и продукты:
-NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.13;
-NetScaler ADC and NetScaler Gateway 13.0 before 13.0-91.13;
-NetScaler ADC 13.1-FIPS 1 before 13.1-37.159;
-NetScaler ADC 12.1-FIPS 1 before 12.1-55.297;
-NetScaler ADC 12.1-NDcPP 1 before 12.1-55.297.
Рекомендации:
1) производитель выпустил официальное известье, в каком советует обновить затронутое программный код до каждый из поддерживаемых версий; 2) проверить наличие данной уязвимости на своих устройствах за счет Python-скрипта от профессионалов Assetnote; 3) проверить актуальность подписки на модуль Security updates; 4) добавить в блокирующее правило IDPS сигнатуры «Possible Citrix ADC and NetScaler Gateway RCE».
За дополнительной информацией можно обратиться к профессионалам Центра мониторинга и реагирования UserGate на адрес электронной почты: mrc@usergate.com.