網(wǎng)絡(luò)安全分析師警告稱，數(shù)以千計(jì)的Citrix ADC 和網(wǎng)關(guān)部署仍然存在安全風(fēng)險(xiǎn)，即便該品牌服務(wù)器在此之前已經(jīng)修復(fù)了兩個(gè)嚴(yán)重的安全漏洞。

第一個(gè)漏洞是CVE-2022-27510，已于 11 月 8 日修復(fù)?？捎绊憙煞N Citrix 產(chǎn)品的身份驗(yàn)證繞過。地二個(gè)漏洞是CVE-2022-27510，已于 12 月 13 日披露并修補(bǔ)，其允許未經(jīng)身份驗(yàn)證的攻擊者，在易受攻擊的設(shè)備上執(zhí)行遠(yuǎn)程命令并控制它們。

然而，就在Citrix公司發(fā)布安全更新對(duì)漏洞進(jìn)行修復(fù)時(shí)，攻擊者已經(jīng)在大規(guī)模利用CVE-2022-27518漏洞了。

NCC Group公司旗下的Fox IT團(tuán)隊(duì)的研究人員報(bào)告說，雖然大多數(shù)面向公眾的 Citrix 端點(diǎn)已更新為安全版本，但仍有數(shù)千個(gè)端點(diǎn)容易受到攻擊。

查找易受攻擊的版本

Fox IT 分析師于 2022 年 11 月 11 日掃描了網(wǎng)絡(luò)，發(fā)現(xiàn)共有3萬(wàn)臺(tái) Citrix 服務(wù)器在線。為了確定有多少太服務(wù)器受到上述兩個(gè)漏洞的影響，安全研究人員首先要確定它們的版本號(hào)。雖說版本號(hào)未包含在服務(wù)器的HTTP 響應(yīng)中，但是卻攜帶了類似 MD5 哈希的參數(shù)，可用于將它們與 Citrix ADC 和 Gateway 產(chǎn)品版本進(jìn)行匹配。

index.htm 中的哈希值

因此，該團(tuán)隊(duì)在VM上下載并部署了他們可以從 Citrix、Google Cloud Marketplace、AWS 和 Azure 獲取的所有 Citrix ADC 版本，并將哈希值與版本相匹配。

將哈希鏈接到版本 (Fox It)

對(duì)于無(wú)法與來(lái)源版本匹配的哈希值，研究人員求助于確定構(gòu)建日期并據(jù)此推斷出它們的版本號(hào)。

將構(gòu)建日期與哈希相關(guān)聯(lián) (Fox It)

這進(jìn)一步減少了未知版本（孤立哈希）的數(shù)量，但總的來(lái)說，大多數(shù)哈希都與特定的產(chǎn)品版本相關(guān)聯(lián)。

數(shù)以千計(jì)易受攻擊的 Citrix 服務(wù)器

最終結(jié)果如下圖所示，表明截至2022年12月28日，大部分服務(wù)器在13.0-88.14版本上，不受這兩個(gè)安全問題的影響。

Citrix 服務(wù)器版本 (Fox It)

使用數(shù)量排名第二的版本是12.1-65.21，如果滿足某些條件，則容易受到 CVE-2022-27518 的攻擊，該版本至少有3500個(gè)端點(diǎn)在運(yùn)行。攻擊者對(duì)此進(jìn)行利用的前提是，這些服務(wù)器必須要使用SAML SP 或 IdP 配置，因此，并非3500個(gè)系統(tǒng)都會(huì)受到CVE-2022-27518的影響。

有超過 1000 臺(tái)服務(wù)器容易受到 CVE-2022-27510 的影響，大約 3000 個(gè)端點(diǎn)可能容易受上述兩個(gè)嚴(yán)重安全漏洞的影響。

最后，F(xiàn)ox IT 團(tuán)隊(duì)希望其博客能夠幫助提高 Citrix 管理員的意識(shí)，他們尚未針對(duì)最近的嚴(yán)重缺陷應(yīng)用進(jìn)行安全更新，這將會(huì)讓很多用戶處于風(fēng)險(xiǎn)之中。而統(tǒng)計(jì)數(shù)據(jù)也表明，要對(duì)所有設(shè)備的安全漏洞進(jìn)行修復(fù)，供應(yīng)商和企業(yè)仍有許多工作要做。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/thousands-of-citrix-servers-vulnerable-to-patched-critical-flaws/