Citrix بروزرسانی‌های امنیتی را برای رفع یک نقص بحرانی احراز هویت در ADC و محصولات Gateway خود منتشر کرده است، این آسیب‌پذیری می‌تواند برای کنترل سیستم‌های آسیب‌پذیر مورد سوءاستفاده قرار گیرد.
بهره‌برداری موفقیت‌آمیز از این نقص‌ها می‌تواند مهاجم را قادر به دستیابی به دسترسی مجاز، کنترل ریموت دسکتاپ، و حتی دور زدن مکانیزم‌های دفاعی در برابر brute-force، تحت پیکربندی‌های خاص کند.

لیست آسیب‌پذیری‌ها به شرح زیر است:

• CVE-2022-27510 - Unauthorized access to Gateway user capabilities
• CVE-2022-27513 - Remote desktop takeover via phishing
• CVE-2022-27516 - User login brute-force protection functionality bypass

​
نسخه‌های زیر از Citrix ADC و Citrix Gateway تحت‌تأثیر این نقص‌ها هستند:

• Citrix ADC و Citrix Gateway 13.1 نسخه‌های قبل از 13.1-33.47
• Citrix ADC و Citrix Gateway 13.0 نسخه‌های قبل از 13.0-88.12
• Citrix ADC و Citrix Gateway 12.1 نسخه‌های قبل از 12.1.65.21
• Citrix ADC 12.1-FIPS نسخه‌های قبل از 12.1-55.289
• Citrix ADC 12.1-NDcPP نسخه‌های قبل از 12.1-55.289

آسیب‌پذیری‌های CVE-2022-27513 و CVE-2022-27516 نیز به ترتیب تنها زمانی اعمال می‌شوند که ویژگی پراکسی RDP و عملکرد امنیتی "Max Login Attempts" تنظیم و فعال شده باشند.

سیتریکس در اطلاعیه‌ای گفت که به مشتریان آسیب‌پذیر Citrix ADC و Citrix Gateway توصیه می‌شود که نسخه‌های بروز شده مربوطه Citrix ADC و Citrix Gateway را در اسرع وقت نصب کنند.