Citrix ने NetScaler ADC और Gateway की गंभीर मेमोरी ओवररीड कमजोरियों के लिए तत्काल पैच जारी किए
TL;DR
Citrix ने NetScaler ADC और Gateway की गंभीर मेमोरी ओवररीड कमजोरियों के लिए तत्काल पैच जारी किए
यदि आप NetScaler इंफ्रास्ट्रक्चर का उपयोग कर रहे हैं, तो अपना काम रोकें और अपने वर्जन नंबर की जांच करें। Cloud Software Group ने NetScaler ADC, Gateway और Console के लिए तत्काल पैच जारी किए हैं। हम उन कमजोरियों की बात कर रहे हैं—जिनमें से कुछ का CVSS स्कोर 9.3 है—जो किसी हमलावर को सेशन हाईजैक करने, संवेदनशील डेटा देखने या सीधे आपके नेटवर्क में घुसने की अनुमति दे सकती हैं।
यह "जब समय मिले तब पैच करने" वाली स्थिति नहीं है। ये खामियां इस बात के मूल को प्रभावित करती हैं कि आपके उपकरण मेमोरी और ऑथेंटिकेशन को कैसे संभालते हैं।
विश्लेषण: क्या खराब है?
यह एडवाइजरी कई बग्स को कवर करती है, लेकिन दो अपनी गंभीरता के कारण अलग हैं। पहला, CVE-2025-5777 है, जो NetScaler Gateway और AAA वर्चुअल सर्वर को प्रभावित करने वाली एक गंभीर मेमोरी ओवररीड भेद्यता है। दूसरा, CVE-2026-3055 है, जो SAML आइडेंटिटी प्रोवाइडर (IdP) के रूप में कार्य करने वाले सिस्टम को लक्षित करने वाला एक आउट-ऑफ-बाउंड रीड है।
सक्रिय शोषण के संबंध में सुरक्षा समुदाय में मिली-जुली राय है। कुछ रिपोर्टों का सुझाव है कि हमलावर पहले से ही इन खामियों का फायदा उठाने की कोशिश कर रहे हैं, जबकि अन्य ने अभी तक व्यापक अभियान नहीं देखे हैं। फिर भी, इतने उच्च स्कोर के साथ, पुष्टि किए गए शोषण का इंतजार करना एक जोखिम भरा खेल है।
प्राथमिक कमजोरियों का संक्षिप्त विवरण यहां दिया गया है:
| भेद्यता | CVSS स्कोर | गंभीरता | प्राथमिक प्रभाव |
|---|---|---|---|
| CVE-2025-5777 | 9.3 | गंभीर | Gateway/AAA में मेमोरी ओवररीड |
| CVE-2026-3055 | 9.3 | गंभीर | आउट-ऑफ-बाउंड रीड (SAML IdP) |
| CVE-2025-5349 | 8.7 | उच्च | अनुचित एक्सेस कंट्रोल |
| CVE-2026-4368 | 7.7 | उच्च | यूजर सेशन मिक्स-अप/रेस कंडीशन |
| CVE-2025-4365 | 6.9 | मध्यम | मनमाना फ़ाइल रीड |
उदाहरण के लिए, CVE-2026-4368 को लें। यह एक रेस कंडीशन है जो अनिवार्य रूप से यूजर सेशन को गड़बड़ कर देती है। एक साझा या मल्टी-टेनेंट वातावरण में, यह एक दुःस्वप्न है—आप एक यूजर को अनजाने में दूसरे यूजर के सेशन संदर्भ में प्रवेश करते हुए पा सकते हैं। यह उस तरह की लॉजिक त्रुटि है जो एक सुरक्षित गेटवे को असुरक्षित बना देती है।
समाधान पुस्तिका
इन्हें पैच करना केवल "अपडेट" पर क्लिक करने जितना सरल नहीं है। चूंकि ये खामियां मेमोरी प्रबंधन से संबंधित हैं, इसलिए आपको यह सुनिश्चित करने के लिए सिस्टम को फ्लश करना होगा कि कोई "घोस्ट" डेटा न बचे।
सबसे पहले, अपने वातावरण के लिए विशिष्ट बिल्ड प्राप्त करने के लिए NetScaler के आधिकारिक सुरक्षा अपडेट पर जाएं। आप 14.1-66.59, 13.1-62.23, या 13.1-37.262 (FIPS/NDcPP के लिए) जैसे टारगेट देख रहे हैं।
एक बार जब आप अपडेट लागू कर लेते हैं, तो आपका काम खत्म नहीं होता है। यह सुनिश्चित करने के लिए कि फिक्स प्रभावी है, इन चरणों का पालन करें:
- सेशन समाप्त करें: अपग्रेड के बाद, आपको सभी सक्रिय और निरंतर सेशन को अमान्य करना होगा। यदि आप ऐसा नहीं करते हैं, तो आप संभावित रूप से समझौता किए गए सेशन को बने रहने का मौका दे रहे हैं।
- पाइप्स साफ़ करें: HA पेयर और क्लस्टर नोड्स पर, आपको मैन्युअल रूप से कनेक्शन बफ़र्स को साफ़ करना होगा। किसी भी शेष, संभावित रूप से दूषित डेटा को शुद्ध करने के लिए
kill icaconnection -allऔरkill pcoipConnection -allचलाएं। - कंसोल को लॉक करें: केवल पैच करके न छोड़ें। यह सुनिश्चित करने के लिए कि आपके प्रबंधन इंटरफेस सार्वजनिक इंटरनेट के संपर्क में नहीं हैं, NetScaler कंसोल सुरक्षा के लिए सर्वोत्तम प्रथाओं के विरुद्ध अपने सेटअप की समीक्षा करें।
CERT-EU सुरक्षा एडवाइजरी स्पष्ट करती है: ये केवल मामूली बग नहीं हैं। चूंकि वे आपके ऑथेंटिकेशन—विशेष रूप से SAML IdP और AAA सर्वर—के केंद्र पर प्रहार करते हैं, इसलिए क्रेडेंशियल चोरी का जोखिम बहुत वास्तविक है।
अपने पेरिमीटर को मजबूत करना
यदि आप अपने नेटवर्क सुरक्षा को सख्त करना चाहते हैं, तो अब सही समय है। पैचिंग पहला कदम है, लेकिन यह डिफेंस-इन-डेप्थ रणनीति का केवल एक हिस्सा है। NetScaler कॉन्फ़िगरेशन दिशानिर्देशों पर एक नज़र डालें और अपने प्रबंधन इंटरफेस तक पहुंच को प्रतिबंधित करके शुरुआत करें। यदि इसे इंटरनेट से एक्सेस करने की आवश्यकता नहीं है, तो इसे नहीं होना चाहिए।
अपनी बिल्ड आवश्यकताओं को सत्यापित करने के लिए आधिकारिक Citrix सपोर्ट लेख का उपयोग करें। हर वातावरण अलग होता है, और एक विशिष्ट संस्करण आवश्यकता को चूकना आपको असुरक्षित छोड़ सकता है।
खतरों का परिदृश्य तेजी से बदल रहा है। अभी, प्राथमिकता इन खामियों को बंद करना है इससे पहले कि वे किसी ब्रीच रिपोर्ट की अगली बड़ी हेडलाइन बन जाएं। रखरखाव विंडो का इंतजार न करें—इन अपडेट को अपनी सूची में सबसे ऊपर रखें। आधिकारिक चैनलों पर नज़र रखें, अपने लॉग साफ़ रखें, और तब तक यह न मानें कि आपका वर्तमान कॉन्फ़िगरेशन "पर्याप्त अच्छा" है जब तक कि आपने इन नए पैच के खिलाफ इसे सत्यापित नहीं कर लिया हो।
सुरक्षा बिल्ली और चूहे का एक निरंतर खेल है, और अभी, चूहे के पास बढ़त है। इन पैच को तैनात करें और उन सेशन बफ़र्स को साफ़ करें।