一、基本情况

2020年7月7日,Citrix官方发布的漏洞公告中包含11个安全漏洞,其中Citrix ADC、Citrix Gateway和Citrix SD-WAN WANOP 组件中存在多个安全风险。攻击者可利用漏洞,造成以下影响:下载任意文件/上传任意文件/实施跨站脚本攻击/实施拒绝服务攻击/获得敏感信息/认证绕过/代码注入/权限提升。

建议广大用户及时升级到指定版本,做好资产自查以及预防工作,以免遭受黑客攻击。

二、 漏洞详情

Citrix是一套提供网络管理、防火墙、网关等功能的集成化平台。

Citrix 产品中使用了PHP提供web服务,在其PHP代码中存在多处错误而导致了如下漏洞:

CVE-ID

漏洞影响

CVE-2019-18177

信息泄漏

CVE-2020-8187

拒绝服务

CVE-2020-8190

本地权限提升

CVE-2020-8191

跨站脚本攻击

CVE-2020-8193

认证绕过

CVE-2020-8194

代码注入

CVE-2020-8195

信息泄漏

CVE-2020-8196

信息泄漏

CVE-2020-8197

权限提升

CVE-2020-8198

跨站脚本攻击

CVE-2020-8199

本地权限提升

三、 影响范围

Citrix ADC and Citrix Gateway: < 13.0-58.30

  • Citrix ADC and NetScaler Gateway: < 12.1-57.18

  • Citrix ADC and NetScaler Gateway: < 12.0-63.21

  • Citrix ADC and NetScaler Gateway: < 11.1-64.14 

  • NetScaler ADC and NetScaler Gateway: < 10.5-70.18

  • Citrix SD-WAN WANOP: < 11.1.1a

  • Citrix SD-WAN WANOP: < 11.0.3d

  • Citrix SD-WAN WANOP: < 10.2.7

  • Citrix Gateway Plug-in for Linux: <  1.0.0.137

四、修复建议

通用修补建议:

对应组件至少升级到以下版本

  • Citrix ADC and Citrix Gateway: 13.0-58.30

  • Citrix ADC and NetScaler Gateway: 12.1-57.18

  • Citrix ADC and NetScaler Gateway:12.0-63.21 

  • Citrix ADC and NetScaler Gateway:11.1-64.14 

  • NetScaler ADC and NetScaler Gateway:10.5-70.18

  • Citrix SD-WAN WANOP: 11.1.1a

  • Citrix SD-WAN WANOP: 11.0.3d

  • Citrix SD-WAN WANOP: 10.2.7

  • Citrix Gateway Plug-in for Linux: 1.0.0.137

Citrix 为商业软件,建议用户直接联系Citrix获得直接服务与支持。

临时修补建议:

1.将各组件配置在隔离网络进行集中管理

2.禁止外网访问该系列组件

五、参考链接

1.Citrix provides context on Security Bulletin CTX276688 | Citrix Blogs

[https://www.citrix.com/blogs/2020/07/07/citrix-provides-context-on-security-bulletin-ctx276688/]

2.Adventures in Citrix security research | dmaasland.github.io

[https://dmaasland.github.io/posts/citrix.html]

3.Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance Security Update

[https://support.citrix.com/article/CTX276688]

支持单位:

360安全应急响应中心

深信服千里目安全实验室

中国信息通信研究院

声明:本文来自网络安全威胁信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。