SOS :: Security Operation Space
16 июля, вторник, 00:00
|
Hot News:

Citrix пропатчила критические уязвимости в SDWAN-решениях

12 июля 2019 г., пятница, 15:17

Пользователям Citrix SD-WAN Center и Citrix SD-WAN Appliance следует установить обновление 10.0.8 или 10.2.3.

В популярной платформе управления программно-определяемыми сетями выявлены уязвимости, позволяющие без авторизации выполнять команды с привилегиями root. Пользователям Citrix SD-WAN Center и Citrix SD-WAN Appliance (ранее линейка NetScaler SD-WAN) настоятельно рекомендуется произвести обновление до сборки 10.0.8 или 10.2.3.

«Множественные уязвимости удаленного исполнения кода (RCE) в SD-WAN Center можно эксплуатировать без аутентификации с целью получения root-доступа, — цитирует Help Net Security блог-запись Tenable, эксперты которой обнаружили проблемы. — Уязвимость в SD-WAN Appliance позволяет провести SQL-инъекцию в обход аутентификации. Скомбинировав ее с авторизованным внедрением команд, злоумышленник получит возможность удаленно выполнить код без аутентификации».

В веб-приложении Citrix SD-WAN Center, предназначенном для централизованного управления SDWAN-сетями, выявлено шесть уязвимостей. Пять из них грозят инъекцией команд, одна позволяет получить несанкционированный доступ на запись к корневому каталогу системы. Продукты Citrix SD-WAN Appliance, помогающие оптимизировать работу программно-определяемых сетей, содержат две уязвимости; одна из них (CVE-2019-12989), как сказано выше, провоцирует SQLi, другая (CVE-2019-12991) — атаки с использованием внедрения команд.

Все обнаруженные проблемы можно использовать удаленно и без аутентификации при единственном условии: автор атаки должен иметь сетевой доступ к уязвимой системе. В случае успеха злоумышленник сможет нарушить связь с каким-либо филиалом компании или просто обрушить целевую WAN-сеть.

Наличие уязвимостей подтверждено для следующих версий SDWAN-продуктов:

  • все выпуски NetScaler SD-WAN 9.x *
  • все сборки SD-WAN 10.0.x ниже 10.0.8
  • все сборки ветки Citrix SD-WAN 10.1.x **
  • все сборки ветки Citrix SD-WAN 10.2.x ниже 10.2.3

* проблемы устранит апгрейд через установку обновления 10.0.8

** проблемы устранит апгрейд через установку обновления 10.2.3

Новые сборки доступны на сайте загрузок компании. Citrix также рекомендует клиентам ограничить сетевой доступ к консоли управления ее оборудованием для SD-WAN.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
11:46
11:15
09:15
08:15
08:15
07:15
06:15
06:15
05:28
16:31
16:02
15:39
15:15
14:27
13:15
13:15
10:15
10:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.275
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.