據(jù)英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）撰寫(xiě)的年度報(bào)告顯示，2023年僅僅利用思杰（Citrix）的一個(gè)漏洞就引發(fā)了“13起獨(dú)立的全國(guó)性重大事件”。

思杰在2023年7月18日發(fā)布的安全公告中披露，迫使安全服務(wù)專(zhuān)業(yè)人員緊急干預(yù)的思杰漏洞CVE-2023-3519于6月首次作為零日漏洞被人利用，用于攻擊美國(guó)的關(guān)鍵國(guó)家基礎(chǔ)設(shè)施。

該漏洞的CVSS評(píng)分為9.8分，是一個(gè)預(yù)身份驗(yàn)證遠(yuǎn)程代碼執(zhí)行漏洞，它使攻擊者能夠以root權(quán)限訪問(wèn)思杰網(wǎng)關(guān)。

1個(gè)思杰漏洞觸發(fā)了13起網(wǎng)絡(luò)安全事件

圖1. 中間的這個(gè)設(shè)備即應(yīng)用程序交付控制器（ADC）岌岌可危。

從思杰的上圖可以看出，應(yīng)用程序交付控制器的目的是“運(yùn)用安全策略并阻止攻擊”，但有時(shí)候它也被攻擊者利用。

這種事件和威脅形勢(shì)意味著“我們需要繼續(xù)提高對(duì)關(guān)鍵國(guó)家基礎(chǔ)設(shè)施風(fēng)險(xiǎn)的重視程度”，“比如說(shuō)，了解英國(guó)關(guān)鍵國(guó)家基礎(chǔ)設(shè)施的設(shè)計(jì)中存在的缺陷（比如網(wǎng)絡(luò)隔離不足）將是關(guān)鍵所在。”

NCSC表示，NCSC處理的事件中比例最高的事件源自應(yīng)用程序被利用，旨在幫助預(yù)防由網(wǎng)絡(luò)安全實(shí)踐和做法造成的事件，NCSC通過(guò)早期預(yù)警服務(wù)（EWS）針對(duì)易受攻擊的服務(wù)發(fā)出了超過(guò)1.6萬(wàn)則通知。

行業(yè)上游缺乏網(wǎng)絡(luò)安全

雖然NCSC認(rèn)為網(wǎng)絡(luò)安全實(shí)踐和做法確實(shí)難咎其責(zé)（受到攻擊的組織將包括那些沒(méi)有打補(bǔ)丁的），但這里的供應(yīng)商（思杰）也值得關(guān)注，特別是這個(gè)漏洞在補(bǔ)丁發(fā)布之前被人作為一個(gè)零日漏洞而被利用。

正如安全公司Bishop Fox在7月份分析該漏洞時(shí)特別指出，完全缺乏漏洞緩解措施使得這個(gè)漏洞極容易在VPX版本（思杰/NetScaler在虛擬機(jī)管理程序上運(yùn)行網(wǎng)關(guān)的產(chǎn)品）上被利用。相比之下，無(wú)法利用nsppe的CPX（容器化）版本，這是由于在溢出的緩沖區(qū)之后立即就有堆棧金絲雀（stack canary）。

該公司的安全團(tuán)隊(duì)特別指出，這遵循了我們?cè)谠S多網(wǎng)絡(luò)設(shè)備（包括但不限于PAN-OS和FortiGate）中觀察到的，缺少漏洞緩解措施這個(gè)趨勢(shì)。希望供應(yīng)商能夠注意到啟用基本的編譯時(shí)漏洞緩解措施具有的重要性，因?yàn)樗鼈兛梢允沟貌环ǚ肿雍茈y或幾乎不可能利用許多常見(jiàn)的漏洞，同時(shí)給性能帶來(lái)的影響最小。

外媒在7月份曾特別指出，盡管顯然思杰在6月份就知道了這個(gè)漏洞和被利用的事實(shí)，但它直到次月準(zhǔn)備好了補(bǔ)丁后才發(fā)布緊急緩解措施。

美國(guó)的安全監(jiān)管部門(mén)CISA在7月21日特別指出，在那次事件中，“攻擊者試圖橫向移動(dòng)到一個(gè)域控制器，但該設(shè)備的網(wǎng)絡(luò)分段控制措施阻止了橫向移動(dòng)?！比欢?，攻擊者使用存儲(chǔ)在易受攻擊的NetScaler ADC上的密鑰來(lái)解密活動(dòng)目錄（AD）憑據(jù)，使用這些憑據(jù)通過(guò)虛擬機(jī)從ADC向域控制器進(jìn)行身份驗(yàn)證，但是防火墻和帳戶(hù)限制（只有某些內(nèi)部帳戶(hù)可以向域控制器進(jìn)行身份驗(yàn)證）阻止了這次活動(dòng)。

文章翻譯自：https://www.thestack.technology/1-citrix-bug-alone-triggered-13-nationally-significant-uk-cybersecurity-incidents/如若轉(zhuǎn)載，請(qǐng)注明原文地址