漏洞名称:
NetScaler ADC & NetScaler Gateway拒绝服务漏洞(CVE-2023-6549)
组件名称:
NetScaler ADC & NetScaler Gateway
影响范围:
NetScaler ADC & NetScaler Gateway 14.1 < 14.1-12.35
NetScaler ADC & NetScaler Gateway 13.1 < 13.1-51.15
NetScaler ADC & NetScaler Gateway 13.0 < 13.0-92.21
NetScaler ADC 13.1-FIPS < 13.1-37.176
NetScaler ADC 12.1-FIPS < 12.1-55.302
NetScaler ADC 12.1-NDcPP < 12.1-55.302
漏洞类型:
拒绝服务
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:容易,无需授权。
<综合评定威胁等级>:高危,能造成拒绝服务攻击。
官方解决方案:
已发布
漏洞分析
组件介绍
NetScaler ADC和NetScaler Gateway都是美国思杰(Citrix)公司的产品。NetScaler Gateway是一套安全的远程接入解决方案,可提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据;NetScaler ADC是一个全面的应用程序交付和负载均衡解决方案,用于实现应用程序安全性、整体可见性和可用性。
漏洞简介
2024年1月18日,深瞳漏洞实验室监测到一则NetScaler ADC & NetScaler Gateway存在拒绝服务漏洞的信息,漏洞编号:CVE-2023-6549,漏洞威胁等级:高危。
该漏洞是由于服务器对于请求处理数量限制不正确,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行拒绝服务攻击,最终使服务器宕机。
影响范围
目前受影响的NetScaler ADC & NetScaler Gateway版本:
NetScaler ADC & NetScaler Gateway 14.1 < 14.1-12.35
NetScaler ADC & NetScaler Gateway 13.1 < 13.1-51.15
NetScaler ADC & NetScaler Gateway 13.0 < 13.0-92.21
NetScaler ADC 13.1-FIPS < 13.1-37.176
NetScaler ADC 12.1-FIPS < 12.1-55.302
NetScaler ADC 12.1-NDcPP < 12.1-55.302
解决方案
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://support.citrix.com/
参考链接
时间轴
2024/1/18
深瞳漏洞实验室监测到NetScaler ADC & NetScaler Gateway拒绝服务漏洞(CVE-2023-6549)攻击信息。
2024/1/18
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。