【漏洞概述】
2020年07月10日,Citrix官方发布Citrix ADC、Citrix Gateway和Citrix SD-WAN WANOP 组件中多个安全漏洞风险通告。
Citrix产品中存在多个安全问题,攻击者通过发送特制请求包,能够造成以下严重后果:
上传/下载任意文件
实施跨站脚本攻击
实施拒绝服务攻击
获得敏感信息
认证绕过
代码注入
权限提升
Citrix相关组件是美国思杰公司提供的一套网络管理、防火墙、网关等功能的集成化平台,Citrix ADC是整体式和基于微服务的应用交付和负载均衡解决方案,Citrix SD-WAN WANOP设备用于优化 WAN 链接。
【漏洞等级】高危
【漏洞详情】
CVE-ID 漏洞影响
CVE-2019-18177 信息泄漏
CVE-2020-8187 拒绝服务
CVE-2020-8190 本地权限提升
CVE-2020-8191 跨站脚本攻击
CVE-2020-8193 认证绕过
CVE-2020-8194 代码注入
CVE-2020-8195 信息泄漏
CVE-2020-8196 信息泄漏
CVE-2020-8197 权限提升
CVE-2020-8198 跨站脚本攻击
CVE-2020-8199 本地权限提升
【影响版本】
Citrix ADC and Citrix Gateway: < 13.0-58.30
Citrix ADC and NetScaler Gateway: < 12.1-57.18
Citrix ADC and NetScaler Gateway: < 12.0-63.21
Citrix ADC and NetScaler Gateway: < 11.1-64.14
NetScaler ADC and NetScaler Gateway: < 10.5-70.18
Citrix SD-WAN WANOP: < 11.1.1a
Citrix SD-WAN WANOP: < 11.0.3d
Citrix SD-WAN WANOP: < 10.2.7
Citrix Gateway Plug-in for Linux: < 1.0.0.137
【修复建议】
已有部分漏洞的PoC在网络上公开,腾讯安全专家建议用户尽快将Citrix系列产品升级到安全版本进行防护。
建议用户直接联系Citrix官方获得支持,官方下载链接:
https://www.citrix.com/downloads/citrix-adc/
https://www.citrix.com/downloads/citrix-gateway/
https://www.citrix.com/downloads/citrix-sd-wan/
临时缓解措施:
将各组件配置在隔离网络进行集中管理,禁止外网访问该系列组件。可参考官方文档:
https://docs.citrix.com/zh-cn/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html
【参考链接】
https://www.citrix.com/blogs/2020/07/07/citrix-provides-context-on-security-bulletin-ctx276688/
https://dmaasland.github.io/posts/citrix.html
https://support.citrix.com/article/CTX276688