Nella mattina del 19 settembre sul sito Citrix sono stati rimossi tutti i download dei firmware del NetScaler versione 11.0, 11.1 e 12.0 e il giorno successivo la stessa sorte è toccata anche ai firmware versione 10.1 e 10.5 e a SD-WAN 9.3.
Un telegrafico messaggio avvisa del problema:
An issue was found with the NetScaler builds for Release 12.0, 11.1 & 11.0. We will be posting a revision shortly.
Restiamo in attesa di nuove informazioni, ma il fatto che tutti i firmware siano stati rimossi così repentinamente non ci fa pensare bene.
AGGIORNAMENTO: in realtà non ci sono ancora novità significative. Citrix ha creato anche un KB NS 11.0, 11.1, 12.0 builds temporarily offline, ma verosimilmente non ci saranno novità fino a che non avranno completato la fix e realizzato i nuovi firmware.
AGGIORNAMENTO 20/09/2017: la situazione si aggrava. CTX227893 ora riporta come titolo NS 10.1, 10.5, 11.0, 11.1, 12.0 and NS SD-WAN 9.3 Standard and Enterprise builds temporarily offline, quindi anche le versioni 10.5 e 10.1 del NetScaler e le versioni 9.3 di SD-WAN sono affette da questo misterioso e grave problema. Sulle tempistiche ancora tutto tace…
AGGIORNAMENTO 21/09/2017: Citrix riporta che la data di pubblicazione della patch dovrebbe essere lunedì 25/09/2017. Nel frattempo ha pubblicato una serie di raccomandazioni che fanno pensare che il problema sia legato all’interfaccia di management sull’NS IP (CTX227893)
AGGIORNAMENTO 25/09/2017: Citrix ha finalmente pubblicato un bollettino di sicurezza relativo a Authentication Bypass Vulnerability in Citrix NetScaler ADC and NetScaler Gateway Management Interface. La vulnerabilità è stata anche codificata con la CVE-2017-14602. Contestualmente nell’area download sono comparse le nuove build da scaricare.