Firma Citrix opublikowała biuletyn bezpieczeństwa dotyczący podatności w produktach sieciowych – Citrix (Application Delivery Controller) ADC, Citrix Gateway i Citrix SD-WAN Optimization edition (WANOP).
Skuteczne wykorzystanie tych błędów może pozwolić nieautoryzowanym atakującym na wykonanie kodu, ujawnienie informacji lub ataki typu „odmowa usługi” na bramę lub wirtualne serwery uwierzytelniające. Citrix potwierdził, że wymienione problemy nie wpływają na inne serwery wirtualne. Jednocześnie potwierdzono również, że podatności te nie były powiązane z wcześniej wykrytym błędem NetScaler zero-day (oznaczoną jako CVE-2019-19781), która pozwalała atakującym na wykonanie dowolnego kodu nawet bez odpowiedniego uwierzytelnienia.
| Numer CVE | Typ podatności | Podatne produkty | Wymagane uprawnienia atakującego | Wymagane warunki |
| CVE-2019-18177 | Ujawnienie informacji | Citrix ADC, Citrix Gateway | Uwierzytelniony użytkownik VPN | Wymaga skonfigurowanego punktu końcowego SSL VPN |
| CVE-2020-8187 | DoS | Citrix ADC, Citrix Gateway 12.0 and 11.1 only | Nieuwierzytelniony zdalny użytkownik | Wymaga skonfigurowanego punktu końcowego SSL VPN lub AAA |
| CVE-2020-8190 | Podniesienie uprawnień | Citrix ADC, Citrix Gateway | Uwierzytelniony użytkownik na NSIP | Tego problemu nie można wykorzystać bezpośrednio. Osoba atakująca musi najpierw uzyskać uprawnienia przy użyciu innego exploita |
| CVE-2020-8191 | Reflected Cross Site Scripting (XSS) | Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP | Nieuwierzytelniony zdalny użytkownik | Wymaga ofiary, która musi otworzyć łącze kontrolowane przez osobę atakującą w przeglądarce, będąc w sieci z łącznością z NSIP |
| CVE-2020-8193 | Obejście autoryzacji | Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP | Nieuwierzytelniony użytkownik z dostępem do NSIP | Atakujący musi mieć dostęp do NSIP |
| CVE-2020-8194 | Wstrzyknięcie kodu | Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP | Nieuwierzytelniony zdalny użytkownik | Wymaga ofiary, która musi pobrać i uruchomić złośliwy plik binarny z NSIP |
| CVE-2020-8195 | Ujawnienie informacji | Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP | Uwierzytelniony użytkownik na NSIP | – |
| CVE-2020-8196 | Ujawnienie informacji | Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP | Uwierzytelniony użytkownik na NSIP | – |
| CVE-2020-8197 | Podniesienie uprawnień | Citrix ADC, Citrix Gateway | Uwierzytelniony użytkownik na NSIP | – |
| CVE-2020-8198 | Stored Cross Site Scripting (XSS) | Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP | Nieuwierzytelniony zdalny użytkownik | Wymaga ofiary, która musi być zalogowana jako administrator (nsroot) na NSIP |
| CVE-2020-8199 | Podniesienie uprawnień | Citrix Gateway Plug-in for Linux | Użytkownik lokalny na komputerze z systemem Linux z uruchomioną wtyczką Citrix Gateway | Musi być uruchomiona wtyczka Citrix Gateway dla systemu Linux |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny