Citrix برای ۱۱ آسیب پذیری Critical خود که روی محصولات تاثیر چندگانه دارند، وصله منتشر کرد

روز گذشته شرکت Citrix وصله امنیتی ای برای ۱۱ آسیب پذیری که بر روی Citrix Application Delivery Controller (ADC) ، Gateway و SD-WAN WAN Opticalization نسخه WAN (WANOP) محصولات آن تأثیر می گذارد ، منتشر کرد.

حملات موفقیت آمیز با استفاده از این آسیب پذیری های مهم می تواند به هکرها اجازه code injection، افشای اطلاعات و حتی اجرای حملات denial-of-service بر روی gateway یا قسمت احراز هویت سرور های مجازی را بدهد. همچنین این شرکت تایید کرد که آسیب پذیری های ذکر شده بر روی load balancing و content switching سرور های مجازی تاثیر نمی گذارد.

از جمله مدل های آسیب دیده دستگاه  Citrix SD-WAN WANOP  می توان به مدلهای WO-4000, 4100-WO, 5000-WO, 5100-WO اشاره کرد.

همچنین متخصصان شبکه تأکید کردند که این آسیب پذیری ها ارتباطی با آسیب پذیری NetScaler zero-day (CVE-2019-19781) که اجازه اجرای کد دلخواه را حتی بدون احراز هویت به مهاجمان می دهد، ندارند.

Fermin Serna مدیر ارشد امنیت اطلاعات شرکت Citrix گفت: از ۱۱ آسیب پذیری، شش مسیر  احتمالی برای حمله وجود دارد؛ پنج مورد از آنها غیرقابل استفاده و ایمن اند. “یک مورد باقی می ماند که مهاجم علاوه بر آسیب پذیری، نیاز به دسترسی هم دارد. این بدین معناست که هکر در ابتدا باید به یک دستگاه آسیب پذیر دست یابد تا بتواند حمله را انجام دهد.”

با وجود اینکه Citrix از انتشار جزئیات کامل در مورد آسیب پذیری ها با به دلیل تلاش هکرها برای نفوذ و سوء استفاده اطلاعاتی برای مهندسی معکوس خودداری کرده است، اما هنوز حملات به رابط مدیریتی محصولات می تواند منجر به کنترل سیستم توسط کاربر غیرمجاز یا حملات XSS شود.

همچنین مهاجم می تواند با ایجاد یک لینک دانلود اختصاص یافته به دستگاه آسیب پذیر، می تواند دسترسی یه رایانه داخلی را به دست اورد و از طریق آن در شبکه مدیریت کند. دسته دوم حملات مربوط به IP های مجازی است که به مهاجمان اجازه می دهد که حمله DoS را روی Gateway اجرا کند یا از راه دور پورت های شبکه را اسکن کند.

توصیه می شود برای کاهش ریسک و دفاع در برابر حملات احتمالی که برای بهره برداری از این آسیب پذیری ها طراحی شده است، هرچه سریعتر جدیدترین وصله های دستگاه های  Citrix ADC ، Citrix Gateway و Citrix SD-WAN WANOP را دریافت و استفاده کنید.