• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202302/1782195_30003_0.htm

Citrix ADC和Citrix Gateway 远程执行漏洞通告(CVE-2022-27518)

【发布时间:2023-02-20】

威胁预警团队

2022/12/14


1. 漏洞综述

1.1 漏洞背景

Citrix即美国思杰公司,是一家致力于云计算虚拟化、虚拟桌面和远程接入技术领域的高科技企业,Citrix ADC和Citrix Gateway 是美国 Citrix 公司的两款产品。Citrix ADC 是该公司的一款应用交付和负载均衡解决方案,该方案提供多种形式和部署选项,并且允许在云部署之间移动功能;Citrix Gateway 则是一套安全的远程接入解决方案,可提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。近日,新华三攻防实验室威胁预警团队监测到Citrix官方发布了安全公告,修复了一个存在于Citrix ADC和Citrix Gateway中的远程代码执行漏洞(CVE-2022-27518)。目前,已发现在野利用该漏洞的行为,新华三攻防实验室建议用户更新Citrix ADC和Citrix Gateway到最新的安全版本避免遭受攻击利用。

1.2 漏洞详情

当Citrix ADC和Citrix Gateway配置为SAML服务提供商(SP)或SAML身份提供商(IdP)时,未经身份验证的恶意攻击者可以通过利用此漏洞可在目标服务器上执行任意命令,获取系统的控制权限。

2. 影响范围

· Citrix ADC和Citrix Gateway 13.0 < 13.0-58.32

· Citrix ADC和Citrix Gateway 12.1 < 12.1-65.25

· Citrix ADC 12.1-FIPS < 12.1-55.291

· Citrix ADC 12.1-NDcPP < 12.1-55.291

3. 严重等级

威胁等级

高危

影响程度

较大

利用价值

利用难度

漏洞评分

9.8

4. 处置方法

4.1 自查方法

1、排查ns.conf文件以确定是否配置为SAML SP或SAML IdP,如果出现以下任意一条指令则为受影响版本:

add authentication samlAction

add authentication samlIdPProfile

2、通过以下YARA签名验证恶意攻击者在活动中使用的恶意软件:

rule tricklancer_a {

strings:

$str1 = "//var//log//ns.log" nocase ascii wide

$str2 = "//var//log//cron" nocase ascii wide

$str3 = "//var//log//auth.log" nocase ascii wide

$str4 = "//var//log//httpaccess-vpn.log" nocase ascii wide

$str5 = "//var//log//nsvpn.log" nocase ascii wide

$str6 = "TF:YYYYMMddhhmmss" nocase ascii wide

$str7 = "//var//log//lastlog" nocase ascii wide

$str8 = "clear_utmp" nocase ascii wide

$str9 = "clear_text_http" nocase ascii wide

condition:

7 of ($str*)

}

rule tricklancer_b {

strings:

$str1 = "nsppe" nocase ascii wide

$str2 = "pb_policy -h nothing" nocase ascii wide

$str3 = "pb_policy -d" nocase ascii wide

$str4 = "findProcessListByName" nocase ascii wide

$str5 = "restoreStateAndDetach" nocase ascii wide

$str6 = "checktargetsig" nocase ascii wide

$str7 = "DoInject" nocase ascii wide

$str8 = "DoUnInject" nocase ascii wide

condition:

7 of ($str*)

}

rule tricklancer_c {

strings:

$str1 = "is_path_traversal_or_vpns_attack_request" nocase ascii wide

$str2 = "ns_vpn_process_unauthenticated_request" nocase ascii wide

$str3 = "mmapshell" nocase ascii wide

$str4 = "DoUnInject" nocase ascii wide

$str5 = "CalcDistanse" nocase ascii wide

$str6 = "checkMyData" nocase ascii wide

$str7 = "vpn_location_url_len" nocase ascii wide

condition:

5 of ($str*)

}

4.2 临时解决措施

1、将所有Citrix ADC实例移动到VPN或其他存在身份验证(最好是多因素)的功能后面

2、将Citrix ADC设备与环境隔离

3、将Citrix ADC恢复至已知安全状态

4.3 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:

Citrix ADC :https://www.citrix.com/downloads/citrix-adc/

Citrix Gateway :https://www.citrix.com/downloads/citrix-gateway/

5. 参考链接

https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/

https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF

新华三官网
联系我们