Citrix, popüler ürünlerinden ikisinde keşfedilen yüksek önem derecesine sahip üç güvenlik açığı için bir düzeltme yayınladı ve şimdi kullanıcıları yamayı hemen uygulamaya çağırıyor.
Şirket, Citrix ADC ve Citrix Gateway’de bulunan üç kusuru düzeltti. ADC, görünüşe göre birçok kuruluş tarafından kesintisiz kullanılabilirlik ve yüksek performans sağlamak için kullanılan bulut uygulamaları için bir yük dengeleme çözümüdür.
Gateway ise kimlik ve erişim yönetimi özellikleriyle güvenli uzaktan erişim sağlayan bir SSL VPN hizmetidir ve bağlantılı kusur bulutta veya şirket içi şirket sunucularında “yaygın olarak dağıtılmıştır”.
Söz konusu kusurlar CVE-2022-27510, CVE-2022-27513 ve CVE-2022-25716 olarak takip edilmektedir. İlki, tehdit aktörlerinin alternatif yollar ve kanallar kullanarak kimlik doğrulama önlemlerini atlamasına izin verir. Kusuru kötüye kullanmak için Gateway’in VPN olarak yapılandırılması gerekiyor.
İkinci güvenlik açığı, tehdit aktörlerinin bir masaüstü uç noktasını ele geçirmesine olanak tanıyan yetersiz bir veri orijinalliği doğrulama hatasıdır. (yeni sekmede açılır) kimlik avı yoluyla uzaktan. Bu kusur için, Gateway’in VPN olarak yapılandırılması ve RDP proxy işlevselliğinin de yapılandırılması gerekir.
Son kusur, siber suçluların oturum açma kaba kuvvet koruma mekanizmalarını atlamasını sağlar. Güvenlik açığının kullanılabilmesi için cihazın VPN veya “Max Login Attempts” konfigürasyonu ile AAA sanal sunucu olarak yapılandırılması gerekmektedir.
Citrix, “Yalnızca Ağ Geçidi olarak çalışan cihazların (SSL VPN işlevini kullanan veya kimlik doğrulaması etkinleştirilmiş bir ICA proxy’si olarak dağıtılan cihazlar) Kritik önem derecesi güvenlik açığı olarak derecelendirilen ilk sorundan etkilendiğini unutmayın.”
Şirket ayrıca, “Citrix ADC ve Citrix Gateway’in etkilenen müşterilerinin, Citrix ADC veya Citrix Gateway’in ilgili güncellenmiş sürümlerini mümkün olan en kısa sürede yüklemeleri önerilir.”
Etkilenen yazılımların ve sürümlerinin listesi:
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
işletim-sistemi-1