Citrix'in ADC'sinde ve Netscaler Ağ Geçidinde bir güvenlik açığı keşfedildi. Siteler arasındaki komut dosyası boşluğunu kapatan güncellenmiş bir yazılım mevcuttur. Yöneticilerin bunları hızlı bir şekilde yüklemesi gerekir.
Duyurudan sonra devamını okuyun
Citrix, bir güvenlik danışma belgesinde güvenlik açığı hakkında oldukça tedbirli bilgiler sağlar. Tek bir tabloda yalnızca anahtar kelimeye benzer bilgiler var: Bu, Ortak Zayıflık Numaralandırma Standardı numarası 79 (CWE-79) olan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır: “Web sayfası oluşturma sırasında yetersiz giriş nötrleştirme.” Klasik olarak XSS, potansiyel kurbanların kodun çalışması için tıklaması gereken bağlantıları kullanarak Javascript kodunu altüst etmenize olanak tanır. Ancak bu, oturum çerezlerinin kopyalanmasına izin vererek saldırganların erişimin kontrolünü ele geçirmesine olanak verebilir (CVE-2025-12101, CVSS4) 5.9“Risk”orta“).
CVSS sürümüne bağlı olarak önemli ölçüde farklı ciddiyet
Netscaler'ların VPN sanal sunucusu, ICA proxy'si, CVPN veya RDP proxy'si gibi bir ağ geçidi veya AAA sanal sunucusu olarak yapılandırılması gerektiğinden Citrix, saldırganların bunlardan yararlanabilmesi için önkoşulların karşılanması gerektiğini varsayar. Ancak bu, uygulamaların İnternet'te kullanılabilir hale getirilmesi için bunun oldukça yaygın bir yapılandırma olduğu gerçeğini hesaba katmaz. Citrix ayrıca bu durumda bir bağlantıya tıklamak gibi kullanıcı etkileşimi ihtiyacını da dikkate alır.
CVSS 4.0, “Saldırı Gereksinimleri: Mevcut” ve “UI:A”, “Kullanıcı Etkileşimi: Etkin” olarak tanıtılan “AT:P” güvenlik açığı vektörünün bileşenlerini tanır. CVSS 4.0'da hesaplama riskini önemli ölçüde azaltırlar, ancak bu durumda, özellikle “AT:P” ile bunun pratikte geçerli olup olmadığı şüphelidir.
CERT-Bund, şiddet derecelerini CVSS 3.1'e göre belirler. Bu vektör bileşenleri orada mevcut değil. Bu, BSI departmanını CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:L/E:U/RL:O/RC:X vektörüne getirir; bu, CVSS değerinin 8,8 olduğu, “yüksek” risk anlamına gelir ve kritik bir güvenlik açığı olarak sınıflandırmayı kıl payı kaçırır. CERT-Bund talep üzerine bunu çevrimiçi olarak doğruladı.
Pratik sınıflandırmanın CVSS değerleri arasında olması gerekir, bu nedenle yöneticilerin mutlaka hızlı hareket ederek güncellemeleri yüklemeleri gerekmektedir. Netscaler ADC ve Gateway sürümleri 14.1-56.73, 13.1-60.32, Netscaler ADC 13.1-FIPS ve 13.1-NDcPP 13.1-37.250'nin yanı sıra Netscaler ADC 12.1-FIPS ve 12.1-NDcPP 12.1-55.333 ve daha yeni sürümler kusur güvenliği. Netscaler ADC ve Gateway 13.0 ile 12.1 kullanım ömrünün sonuna ulaştı ve artık güncelleme alamayacak.
Duyurudan sonra devamını okuyun
Ağustos sonu itibarıyla çok sayıda Netscaler örneği Citrix Bleed 3 güvenlik açığına karşı hâlâ savunmasız durumdaydı. Dünya çapında 28.000 sunucu savunmasız durumdaydı.
(Bilmiyorum)
Bir yanıt yazın