用户中招、紧急修复Citrix ADC和Netscaler 漏洞(CVE-2024-8534和CVE-2024-8535)

哈喽大家好,欢迎来到虚拟化时代君(XNHCYL),收不到通知请将我点击星标!   大家好,我是虚拟化时代君,一位潜心于互联网的技术宅男。这里每天为你分享各种你感兴趣的技术、教程、软件、资源、福利…(每天更新不间断,福利不见不散)

 

引言

 

根据安全部门的通知,昨日2024年11月13日我们监测到Citrix ADC 及 Citrix Gateway 存在内存安全和经过身份验证的用户可以访问非预期的用户功能漏洞(CVE-2024-8534和CVE-2024-8535),建议用户尽快升级,博主已升级完毕,暂无问题!

漏洞影响版本范围

请自查您的Netscaler版本,影响范围如下
NetScaler ADC 和 NetScaler Gateway14.1 <14.1-29.72
NetScaler ADC 和 NetScaler Gateway 13.1 <13.1-55.34
NetScaler ADC 和 NetScaler Gateway 13.0  <13.0-91.13
NetScaler ADC 13.1-FIPS < 13.1-37.207
NetScaler ADC 12.1-FIPS < 12.1-55.321
NetScaler ADC 12.1-NDcPP < 12.1-55.321 
注意:NetScaler ADC 和 NetScaler Gateway 版本 12.1 和 13.0 现已终止使用 (EOL),并且存在漏洞。建议客户将其设备升级到可解决漏洞的受支持版本之一。

CVE-2024-8534漏洞

1、定义:属于内存安全漏洞,成功利用该漏洞可导致内存损坏和拒绝服务

2、先决条件:

  • ADC 必须配置为网关 (VPN vServer),并且必须启用 RDP 功能

  • 必须将 ADC 配置为网关 (VPN vServer),并且需要创建 RDP 代理服务器配置文件并将其设置为网关 (VPN vServer)

  • ADC 必须配置为启用了 RDP 功能的身份验证服务器(AAA 虚拟服务器)

3、漏洞评分:洞的 CVSS 评分为 8.4

4、漏洞修复建议:通过检查 ns.conf 文件中的指定字符串,您可以确定是否将 ADC 配置为网关(VPN 虚拟服务器或 AAA 虚拟服务器),并启用了 RDP 功能或创建了 RDP 代理服务器配置文件:

  • 启用了 RDP 功能的网关 (VPN Vserver):

enable ns feature.*rdpproxyadd vpn vserver
  • 已创建 RDP 代理服务器配置文件并将其设置为网关 (VPN vserver) 的网关 (VPN vserver):

add rdp serverprofileadd vpn vserver
  • 启用了 RDP 功能的身份验证服务器(AAA 虚拟服务器):

enable ns feature.*rdpproxyadd authentication vserver

此漏洞没有可用的缓解措施,因此,如果您使用的是受影响的版本,我们强烈建议您立即安装推荐的版本。

CVE-2024-8534漏洞

1、定义:此漏洞是由于争用条件导致经过身份验证的用户获得意外的用户功能而引起的。

2、先决条件:

  • ADC 必须配置为网关(SSL VPN、ICA 代理、CVPN 或 RDP 代理),并使用 KCDAccount 配置,以便 Kerberos SSO 访问后端资源。

  • ADC 必须配置为具有 KCDAccount 配置的身份验证服务器(AAA 虚拟服务器),以便 Kerberos SSO 访问后端资源。

3、漏洞评分:洞的 CVSS 评分为 5.8

4、漏洞修复建议:通过检查 ns.conf 文件中的以下字符串来确定您是否具有问题。

  •  KCDAccount 配置的网关(SSL VPN、ICA 代理、CVPN、RDP 代理),用于 Kerberos SSO 访问后端资源:

add aaa kcdaccount
  • 具有 KCDAccount 配置的 Auth 服务器(AAA Vserver),用于 Kerberos SSO 访问后端资源    

add aaa kcdaccount

此漏洞没有可用的缓解措施,因此,如果您使用的是受影响的版本,我们强烈建议您立即安装推荐的版本。

    此外,升级到固定版本后,如果设备已配置为 HA 或群集模式,则必须修改设备配置,以确保从系统内存中刷新之前创建的所有会话。执行此操作的 shell 命令:

nsapimgr_wr.sh -ys call=ns_aaa_flush_kerberos_tickets

    如果 NetScaler ADC 已在 HA 模式下配置,则必须在 HA 模式下执行提供的 shell 命令:首先在主节点上执行,然后在辅助节点上执行。

安全版本

官方链接:https://support.citrix.com/s/article/CTX691608。
NetScaler ADC 和 NetScaler Gateway14.1-29.72 及更高版本
NetScaler ADC 和 NetScaler Gateway 13.1-55.34 及更高版本 13.1
NetScaler ADC 和 NetScaler Gateway 13.0  <13.0-91.13
NetScaler ADC 13.1-FIPS 13.1-37.207 及更高版本的
NetScaler ADC 12.1-FIPS 12.1-55.321 及更高版本的
NetScaler ADC 12.1-NDcPP 12.1-55.321 及更高版本 
注意:NetScaler ADC 和 NetScaler Gateway 版本 12.1 和 13.0 现已终止使用 (EOL),不再受支持。
部分版本截图!

升级方法

请参考下面两种升级方法!
多种方法升级Citrix ADC(Netscaler)固件版本
Citrix ADC和Citrix Gateway 远程代码执行漏洞(CVE-2023-3519)修复方案

【以上内容均属虚拟化时代君整理,大家仅供参考!】


🌟这里是一个为你提供实用干货、深度分析和最新趋势的地方!无论你是对职业发展、健康生活、科技创新,还是人文艺术感兴趣,我们都能满足你的需求。
💡 每日更新,帮你提升职场竞争力
🔥 实用技巧,让生活更简单高效
🎉 定期活动,专属福利抢先得
💬 与志同道合的朋友们一起交流,分享灵感
🌱 你关心的,我们都在聊!快来加入我们,让生活更精彩!
👉 扫码关注,精彩内容马上送到你手中!你也可以与我们互动,告诉我们你最想看到的内容哦!🚀

 

往期回顾

如果您觉得文章不错可以查看以前的文章

全网独家Citrix Netscaler通过EPA+PIV认证登录Citrix云桌面

空间不足云桌面崩了?全网超详细Citrix ADC VPX在线扩容独家小秘籍
Citrix Netscaler Authentication多种配置方法为Citrix云桌面保驾护航
紧随国内VDI步伐Citrix Workspace 小刘海终于大改版了!!
疫情远程办公Citrix XenDesktop 2203长期稳定版本虚拟云桌面部署教程
Citrix Virtual Apps and Desktops 7 2203 LTSR虚拟云桌面单机教程
Citrix通过Azure Active Directory实现Saml认证单点登录云桌面
【Citrix】Citrix助力变革制造业提供办公解决方案
Citrix 解决方案助力建设移动化和智慧化的校园云
Citrix Virtual Apps and Desktops云桌面内网Storefront登录流程详解
骚操作一键安装最新版Citrix Workspace客户端
Citrix云桌面之DDC绑定SSL证书
Citrix XenDesktop云桌面单点登录XenApp虚拟应用小技巧
Citrix XenDesktop 7.X用Powershell配置数据库 mirror、Always On和单机
Citrix XenServer配置虚拟机随主机开机自启动
Citrix XenServer常用命令大全
关于Citrix Xenserver 50条运维命令以及使用技巧
Citrix虚拟桌面不同交付组分配不同类型许可授权
Citrix DDC无法删除XenDesktop中计算机账户秘籍
Citrix云桌面初始化Storefront设置
Citrix虚拟桌面常用Powershell命令
Citrix XenServer MCS静态桌面批量添加D盘
多种方法升级Citrix ADC(Netscaler)固件版本
Citrix Virtual Desktops稳定版1912 CU3虚拟桌面全套部署
Citrix ADC和Citrix Gateway 远程代码执行漏洞(CVE-2023-3519)修复方案
打破常规:在Citrix ADC首页插入自定义文字和超链接的创新方法
【VMware】vrops vRealize Operations Manager 8云管平台部署与配置

资源申明:小编更新资源文章只是为了给大家提供一个绿色学习的平台,如果你在本站看到的任何图片文字有涉及到你的利益以及版权都可以联系小编删除。

posted @ 2024-11-14 11:54  Hum0ro_C  阅读(61)  评论(0编辑  收藏  举报