• Home
• Short News
• Long News
• Long Reads
• Support
• Library
• blogs
• links
• Полная версия сайта

Citrix пропатчила критические уязвимости в SDWAN-решениях

Пользователям Citrix SD-WAN Center и Citrix SD-WAN Appliance следует установить обновление 10.0.8 или 10.2.3.

В популярной платформе управления программно-определяемыми сетями выявлены уязвимости, позволяющие без авторизации выполнять команды с привилегиями root. Пользователям Citrix SD-WAN Center и Citrix SD-WAN Appliance (ранее линейка NetScaler SD-WAN) настоятельно рекомендуется произвести обновление до сборки 10.0.8 или 10.2.3.

«Множественные уязвимости удаленного исполнения кода (RCE) в SD-WAN Center можно эксплуатировать без аутентификации с целью получения root-доступа, — цитирует Help Net Security блог-запись Tenable, эксперты которой обнаружили проблемы. — Уязвимость в SD-WAN Appliance позволяет провести SQL-инъекцию в обход аутентификации. Скомбинировав ее с авторизованным внедрением команд, злоумышленник получит возможность удаленно выполнить код без аутентификации».

В веб-приложении Citrix SD-WAN Center, предназначенном для централизованного управления SDWAN-сетями, выявлено шесть уязвимостей. Пять из них грозят инъекцией команд, одна позволяет получить несанкционированный доступ на запись к корневому каталогу системы. Продукты Citrix SD-WAN Appliance, помогающие оптимизировать работу программно-определяемых сетей, содержат две уязвимости; одна из них (CVE-2019-12989), как сказано выше, провоцирует SQLi, другая (CVE-2019-12991) — атаки с использованием внедрения команд.

Все обнаруженные проблемы можно использовать удаленно и без аутентификации при единственном условии: автор атаки должен иметь сетевой доступ к уязвимой системе. В случае успеха злоумышленник сможет нарушить связь с каким-либо филиалом компании или просто обрушить целевую WAN-сеть.

Наличие уязвимостей подтверждено для следующих версий SDWAN-продуктов:

• все выпуски NetScaler SD-WAN 9.x *
• все сборки SD-WAN 10.0.x ниже 10.0.8
• все сборки ветки Citrix SD-WAN 10.1.x **
• все сборки ветки Citrix SD-WAN 10.2.x ниже 10.2.3

* проблемы устранит апгрейд через установку обновления 10.0.8

** проблемы устранит апгрейд через установку обновления 10.2.3

Новые сборки доступны на сайте загрузок компании. Citrix также рекомендует клиентам ограничить сетевой доступ к консоли управления ее оборудованием для SD-WAN.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля