Oggi è arrivato un nuovo bollettino di sicurezza, anche questa volta piuttosto grave, per i nostri amati NetScaler, che segnala altre due vulnerabilità registrate come CVE-2023-4966 e CVE-2023-4967.
Queste nuove vulnerabilità impattano praticamente tutte le versioni firware esistenti, compresa la più recente release 14.1:
- NetScaler ADC and NetScaler Gateway 14.1 prima della versione 14.1-8.50
- NetScaler ADC and NetScaler Gateway 13.1 prima della versione 13.1-49.15
- NetScaler ADC and NetScaler Gateway 13.0 prima della versione 13.0-92.19
- NetScaler ADC 13.1-FIPS prima della versione 13.1-37.164
- NetScaler ADC 12.1-FIPS prima della versione 12.1-55.300
- NetScaler ADC 12.1-NDcPP prima della versione 12.1-55.300
ATTENZIONE: NetScaler ADC e NetScaler Gateway versione 12.1 è ormai in End-of-Life (EOL) e risulta pertanto vulnerabile!
Come per la percedente grave vulnerabilità di fine luglio, anche in questo caso è stata attaccata la componente di autenticazione e il suo portale. Da un lato è possibile fare un Denial of Service, quindi bloccare l’accesso, dall’altro è possibile esfiltrare dati sensibili.
Sicuramente un periodo difficile per il team di sviluppo del NetScaler…
Chiaramente l’unica soluzione è quella di aggiornare il firmware, ma ad aggravare la situazione, quest’oggi la pagina di download dei firmware riportava un laconico:
“We are currently experiencing issues with our downloads. Please check back shortly.”
Risulta quindi praticamente impossibile scaricare i firmware e aggiornare gli apparati.
Per ultieriori informazioni: