Citrix ออกแพตช์ Zero-day ใหม่บน Citrix NetScaler ADC และ NetScaler Gateway

Citrix ออกแพตช์ Zero-day ใหม่บน Citrix NetScaler ADC และ NetScaler Gateway

Credit: ShutterStock.com

Citrix ได้ออกอัปเดตแพตช์ช่องโหว่ใหม่ 3 ตัวบน Citrix ADC และ Citrix Gateway ได้แก่ CVE-2023-3519, CVE-2023-3466 และ CVE-2023-3467 สำหรับช่องโหว่ความรุนแรงสูงที่สุดคือ CVE-2023-3519 ที่มีความรุนแรง CVSS ระดับ 9.8 คะแนน เป็นช่องโหว่ชนิด Unauthenticated Remote Code Execution ทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องที่มีช่องโหว่ได้ คาดว่าเป็นช่องโหว่ Zero-day ที่มีการเผยข้อมูลในบาง Hacker Forum ก่อนหน้านี้ อย่างไรก็ตามเครื่องเป้าหมายจะต้องตั้งค่าให้เป็น Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) หรือตั้งค่าเป็น Authentication Virtual Server (AAA Server) จึงจะสามารถโจมตีได้ โดย Citrix ได้แนะนำให้ผู้ดูแลระบบทำการอัปเดตผลิตภัณฑ์ทันทีเพื่อแก้ไขปัญหา ตามเวอร์ชันดังต่อไปนี้

  • NetScaler ADC และ NetScaler Gateway 13.1-49.13 หรือใหม่กว่า
  • NetScaler ADC และ NetScaler Gateway 13.0-91.13  หรือใหม่กว่า
  • NetScaler ADC 13.1-FIPS 13.1-37.159 หรือใหม่กว่า
  • NetScaler ADC 12.1-FIPS 12.1-65.36 หรือใหม่กว่า
  • NetScaler ADC 12.1-NDcPP 12.1-65.36 หรือใหม่กว่า

สำหรับผู้ที่ใช้งาน NetScaler ADC และ NetScaler Gateway เวอร์ชัน 12.1 จะไม่สามารถอัปเดตได้เนื่องจากเข้าสู่สถานะ End-of-life ไปแล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/new-critical-citrix-adc-and-gateway-flaw-exploited-as-zero-day/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

4 ปี PDPC จากกฎหมายบนกระดาษ สู่ผู้พิทักษ์ข้อมูลของคนไทยเมื่อการคุ้มครองข้อมูลส่วนบุคคลกลายเป็นด่านหน้าสร้าง “Digital Trust” ในยุค AI [PR]

ในวันที่ข้อมูลส่วนบุคคล ตั้งแต่ชื่อ เบอร์โทรศัพท์ ไปจนถึงใบหน้าและเสียง กลายเป็นสิ่งมีค่าไม่ต่างจากเงินในกระเป๋า ย้อนกลับไปเมื่อเพียง 4 ปีก่อน คำถามที่ได้ยินบ่อยที่สุดยังเป็นเพียงว่า ประเทศไทยพร้อมแล้วหรือยัง กับการมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล แต่วันนี้ คำถามนั้นเปลี่ยนไปแล้ว เพราะการดูแลข้อมูลของคนไทยได้เดินทางมาไกลกว่าที่หลายคนคิด

OpenAI เผยรายละเอียด GPT-Red ระบบ AI โจมตีตัวเอง

OpenAI เผยรายละเอียดเกี่ยวกับ GPT-Red ซึ่งเป็นระบบปัญญาประดิษฐ์ภายในที่สร้างขึ้นเพื่อโจมตีโมเดลของตนเองและค้นหาช่องโหว่ประเภทการแทรกคำสั่ง (Prompt Injection) ก่อนที่ช่องโหว่เหล่านั้นจะไปถึงมือผู้ใช้งาน