Citrix已发布补丁程序,以永久解决ADC软件中的一个漏洞,该漏洞被积极利用。
漏洞跟踪为CVE-2019-19781,影响Citrix应用交付控制器(ADC)(以前称为NetScaler ADC)和Citrix Gateway(以前称为NetScaler Gateway)以及Citrix SD-WAN WANOP。
“此漏洞的范围包括托管在Citrix Hypervisor(以前称为XenServer),ESX,Hyper-V,KVM,Azure,AWS,GCP或Citrix ADC Service Delivery Appliance(以下简称Citrix)上的Citrix ADC和Citrix Gateway虚拟设备(VPX) SDX),”该公司说。“ Citrix的进一步调查显示,此问题还影响Citrix SDWAN的某些部署,特别是Citrix SDWAN WANOP版本。CitrixSDWAN WANOP版本将Citrix ADC打包为负载平衡器,从而导致受影响的状态。”
12月17日披露,并出具9.8的CVSS评分,关键路径遍历漏洞可以被武器化启动任意代码执行攻击,而无需进行身份验证。
最初报告此问题的Positive Technologies的Mikhail Klyuchnikov表示,在此漏洞披露之时,该安全漏洞尚无可用的补丁程序,并且认为159个国家/地区的80,000个组织面临风险。
Citrix建议采取缓解措施,直到提供修复程序为止。
Citrix ADC和Citrix Gateway版本13.0,Citrix ADC和NetScaler Gateway版本12.1,Citrix ADC和NetScaler Gateway版本12.0,Citrix ADC和NetScaler Gateway版本11.1以及Citrix NetScaler ADC和NetScaler Gateway版本10.5(所有受支持的版本)均受到影响。 SD-WAN WANOP产品版本10.2.6和11.0.3也受影响。
网络攻击者花了很长时间才开始在Internet上扫描易受攻击的Citrix实例。在1月的第一个星期左右,蜜罐发现Citrix扫描激增,到1月11日,漏洞利用代码在GitHub上公开,这使得攻击易受攻击的机器变得简单。
据FireEye称,在Tor屏障后面工作的攻击者还在易受攻击实例上部署被称为NotRobin的有效负载。
这促使Citrix 发布了预期修复的时间表,预计将于1月27日发布版本13和12.1的补丁程序。1月31日为10.5,1月20日为12&11.1。
ADC版本12和11.1的修复程序提前一天发布。在安全公告中,该软件公司敦促客户“立即”安装补丁,并指出,如果使用多个版本的ADC,IT管理员需要密切注意针对不同内部版本发布的修复程序。
“这些修复还适用于托管在ESX,Hyper-V,KVM,XenServer,Azure,AWS,GCP或Citrix ADC服务交付设备(SDX)上的Citrix ADC和Citrix Gateway虚拟设备(VPX)。SDX上的SVM不需要更新。” Citrix说。“有必要将所有Citrix ADC和Citrix Gateway 11.1实例(MPX或VPX)升级到版本11.1.63.15,以安装安全漏洞修复程序。有必要将所有Citrix ADC和Citrix Gateway 12.0实例(MPX或VPX)升级到版本12.0.63.13安装安全漏洞修复程序。”
此外,Citrix缩短了修复程序的等待时间,以消除其他版本中的错误。现在预计将于1月24日发布适用于版本12.1、13和10.5的Citrix ADC补丁程序,并有望在同一天发布Citrix SD-WAN WANOP修复程序。
Citrix还为IT管理员提供了一种工具,以检查是否已正确应用修补程序。
相关补丁:
*编译:Domino
*来自:ZDNET