Citrix NetScaler ADC veya Citrix NetScaler Gateway kullanıcıları dikkat!. Citrix, 16 Ocak 2024 tarihinde aşağıda belirtilen ürünlerde bulunan CVE-2023-6548 ve CVE-2023-6549 adlı iki zafiyetle ilgili bir güvenlik duyurusu yayımladı. Birinci zafiyet DDoS saldırılarına izin verirken, ikinci zafiyet yetkilendirilmiş (düşük yetkilendirilmiş) uzaktan kod yürütme olanağı sağlıyor ve bu durum yönetim arayüzünde gerçekleştiriliyor.
CVE-2023-6548: Yetkilendirilmiş (düşük yetkilendirilmiş) uzaktan kod yürütme; NSIP, CLIP veya SNIP’ye erişimle birlikte yönetim arayüzüne erişim, CVSS 5.5.
CVE-2023-6549: DoS’a izin veriyor bu zafiyetin istismar edilmesi için cihazın bir ağ geçidi olarak yapılandırılması gerekmektedir. CVSS 8.2.
Aşağıdaki NetScaler ADC ve NetScaler Gateway sürümleri zafiyetlerden etkilenmektedir:
- NetScaler ADC and NetScaler Gateway 14.1 before 14.1-12.35
- NetScaler ADC and NetScaler Gateway 13.1 before 13.1-51.15
- NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.21
- NetScaler ADC 13.1-FIPS before 13.1-37.176
- NetScaler ADC 12.1-FIPS before 12.1-55.302
NetScaler, ADC ve NetScaler Gateway sürüm 12.1 end of life (EOL) kullanan kullanıcılara bu ürünleri desteklenen bir sürüm ile değiştirmelerini tavsiye etti.
Güncellemelere ulaşmak için bu linki ziyaret edebilir siniz.
Güncelleme yapılamayan cihazlar ağ trafiğine kapatılmalı yada sıkı bir şekilde monitor edilmelidir.