Citrix已披露其Citrix Application Delivery Controller(ADC)中存在严重BUG,至少有80,000个组织使用了存在BUG该控制器。目前,没有可用的补丁程序。
根据Citrix的说法,即使没有正确的身份验证,该漏洞也可能允许攻击者执行任意代码。
可能受影响的产品是NetScaler ADC,Citrix Gateway或NetScaler Gateway。该BUG已用标识符CVE-2019-19781标记。
在圣诞节假期期间,对于负责管理由Citrix驱动的设备的企业IT管理员而言,Citrix的披露可能会使者变成一个糟糕的假期,Citrix供电设备已在美国,英国和澳大利亚的企业网络中广泛使用。
不幸的是,对于客户来说,这家美国虚拟化公司没有补丁,但是确实有个建议的缓解措施,可以在固件修复程序发布之前实施。
Citrix 在一份通报中指出: “ Citrix强烈敦促受影响的客户立即应用所提供的缓解措施。然后,客户应在发布时将所有易受攻击的设备的固件升级到设备固件的固定版本。”
它还鼓励管理员订阅其公告警报,以了解新固件何时准备就绪。Citrix的缓解说明可在此处获得。
该漏洞由英国安全公司Positive Technologies的研究员Mikhail Klyuchnikov 报告,该漏洞于周一发布。
Klyuchnikov说,该漏洞影响了158个国家/地区的80,000家公司,并且可能使远程攻击者在一分钟内破坏内部网络。
Positive Technologies指出:“如果利用该漏洞,攻击者可以从Internet直接访问公司的本地网络。此攻击不需要访问任何帐户,因此可以由任何外部攻击者执行。”
Citrix尚未为该错误分配严重性评分,但是Positive Technologies认为它需要保证严重等级为10(满分10分)。
此漏洞影响产品的所有受支持版本以及所有受支持的平台,包括Citrix ADC和Citrix Gateway 13.0,Citrix ADC和NetScaler Gateway 12.1,Citrix ADC和NetScaler Gateway 12.0,Citrix ADC和NetScaler Gateway 11.1以及Citrix NetScaler ADC和NetScaler Gateway 10.5。
*编译整理:Domino
*参考来源:ZDNET