|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0x01 漏洞详情
Citrix ADC和Gateway都是美国思杰(Citrix)公司的产品。Citrix Gateway是一套安全的远程接入解决方案,可提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据;Citrix ADC是一个全面的应用程序交付和负载平衡解决方案,用于实现应用程序安全性、整体可见性和可用性。
12月13日,Citrix发布安全公告,修复了Citrix ADC 和 Citrix Gateway中的一个远程代码执行漏洞(CVE-2022-27518),该漏洞的CVSSv3评分为9.8,目前已检测到漏洞利用。
Citrix ADC和Citrix Gateway多个受影响版本在配置为SAML SP(SAML服务提供商)或SAML IdP(SAML身份提供商)时,存在资源在其生命周期内的控制不当问题,可能导致未经身份验证的远程主机在设备上执行任意代码。
影响范围
Citrix ADC和Citrix Gateway 13.0-x:< 13.0-58.32
Citrix ADC和 Citrix Gateway 12.1-x:< 12.1-65.25
Citrix ADC 12.1-FIPS:< 12.1-55.291
Citrix ADC 12.1-NDcPP:< 12.1-55.291
注:Citrix ADC 和 Citrix Gateway 版本 13.1 不受影响。
0x02 安全建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Citrix ADC和Citrix Gateway 13.0-x:>= 13.0-58.32
Citrix ADC和 Citrix Gateway 12.1-x:>= 12.1-65.25
Citrix ADC 12.1-FIPS:>= 12.1-55.291
Citrix ADC 12.1-NDcPP:>= 12.1-55.291
Citrix ADC更新下载链接:
https://www.citrix.com/downloads/citrix-adc/
Citrix Gateway更新下载链接:
https://www.citrix.com/downloads/citrix-gateway/
排查
使用受影响版本的用户可以通过检查 ns.conf 文件中的以下命令来确定Citrix ADC 或 Citrix Gateway 是否被配置为 SAML SP 或者 SAML IdP,如果以下任一命令出现在 ns.conf 文件中并且使用的是受影响的版本,则必须更新设备:
add authentication samlaction //设备被配置为 SAML SP
add authentication samlIdpProfile //设备被配置为 SAML IdP
NSA已针对该漏洞发布了安全咨询,其中包括恶意行为者针对 Citrix ADC 所利用工具的检测和缓解指南:
YARA签名:
rule tricklancer_a {
strings:
$str1 = "//var//log//ns.log" nocase ascii wide
$str2 = "//var//log//cron" nocase ascii wide
$str3 = "//var//log//auth.log" nocase ascii wide
$str4 = "//var//log//httpaccess-vpn.log" nocase ascii wide
$str5 = "//var//log//nsvpn.log" nocase ascii wide
$str6 = "TF:YYYYMMddhhmmss" nocase ascii wide
$str7 = "//var//log//lastlog" nocase ascii wide
$str8 = "clear_utmp" nocase ascii wide
$str9 = "clear_text_http" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_b {
strings:
$str1 = "nsppe" nocase ascii wide
$str2 = "pb_policy -h nothing" nocase ascii wide
$str3 = "pb_policy -d" nocase ascii wide
$str4 = "findProcessListByName" nocase ascii wide
$str5 = "restoreStateAndDetach" nocase ascii wide
$str6 = "checktargetsig" nocase ascii wide
$str7 = "DoInject" nocase ascii wide
$str8 = "DoUnInject" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_c {
strings:
$str1 = "is_path_traversal_or_vpns_attack_request" nocase ascii wide
$str2 = "ns_vpn_process_unauthenticated_request" nocase ascii wide
$str3 = "mmapshell" nocase ascii wide
$str4 = "DoUnInject" nocase ascii wide
$str5 = "CalcDistanse" nocase ascii wide
$str6 = "checkMyData" nocase ascii wide
$str7 = "vpn_location_url_len" nocase ascii wide
condition:
5 of ($str*)
}
缓解措施:
在能够访问ADC之前,将所有Citrix ADC实例移动到需要有效用户身份验证(理想情况下是多因素)的VPN或其他功能之后。
将Citrix ADC设备与环境隔离,以确保任何恶意活动得到遏制。
将Citrix ADC恢复到一个已知的良好状态。
即使没有任何恶意活动的迹象,也要确保Citrix ADC设备正在运行最新版本。
0x03 参考链接
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/amp/
https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF
0x04 版本信息
|
|
|
|
|
|
|
|
0x05 附录
公司简介
启明星辰成立于1996年,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。
公司总部位于北京市中关村软件园启明星辰大厦,公司员工6000余人,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:
原文始发于微信公众号(维他命安全):【漏洞通告】Citrix ADC & Gateway远程代码执行漏洞(CVE-2022-27518)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论