CVE-2019–19781 Kodlu Güvenlik Açığı

Citrix Application Delivery Controller (ADC) ve Citrix Gateway ürünlerinde, kimliği doğrulanmamış bir saldırganın yazılım üzerinde komut çalıştırmasına izin veren bir açık tespit edilmişti.

Aşağıdaki yapılandırma değişiklikleri, yukarıda bahsedilen güvenlik açığını azaltma işlevi görür.

Standalone System

Yapınızda tek bir ADC ürünü var ise ;enable ns feature responderadd responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403bind responder global ctx267027 1 END -type REQ_OVERRIDEsave config

Değişikliklerin yönetim arabirimleri için de geçerli olduğundan emin olun. Komut satırı arayüzünden, lütfen aşağıdaki komutları çalıştırın.shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"reboot

HA Pair

Primary Node:enable ns feature responderadd responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403bind responder global ctx267027 1 END -type REQ_OVERRIDEsave configshell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"reboot

Secondary Node:shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"reboot

Cluster

On CLIP:enable ns feature responderadd responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403bind responder global ctx267027 1 END -type REQ_OVERRIDEsave configshell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"reboot

All Cluster node:shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"reboot

Admin partitionswitch ns partition defaultenable ns feature responderadd responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403bind responder global ctx267027 1 END -type REQ_OVERRIDEsave configshell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"reboot

Değişiklikleri Geri Almak İçin (Standalone,CLIP, HA Primary)unbind responder global ctx267027rm responder policy ctx267027rm responder action respondwith403save config

rc.netscaler dosyasında yaptığınız değişikliği geri almak için;shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=1shell "sed -i '' '/skip_systemaccess_policyeval=0/d' /nsconfig/rc.netscaler"reboot

Yukarıdaki senaryoların her birinde yeniden başlatma, politikanın uygulanması için gerekli değildir, ancak herhangi bir açık oturum varsa, politika uygulamasından önceki güvenlik açığı aracılığıyla alınan önlemlerin temizlenmesini sağlamak için önerilir.