Citrix悄悄修复相似度极高但严重性不及CitrixBleed的高危漏洞

该漏洞与 CitrixBleed (CVE-2024-4966) 极其相似但严重性不及。CitrixBleed 同样位于ADC和Gateway 中，是Citrix 去年披露的一个 0day。本文所述新漏洞由 Bishop Fox 公司的研究人员发现并在1月份将其报送给 Citrix 公司。

攻击者大规模利用 CitrixBleed 漏洞部署勒索软件、窃取信息以及实现其它恶意目的。CISA 等机构督促受影响组织机构快速将系统更新至已修复的 NetScaler 版本，并援引多份针对该漏洞的大量报告。波音和 Comcast Xfinity 就是遭针对的多个大型组织机构。

相反，Bishop Fox 公司在1月份发现的漏洞严重程度较低，因为攻击者从易受攻击系统中检索高价值信息的可能性更低。即便如此，位于 NetScaler 版本13.1-50.23中的这个漏洞仍然可导致攻击者抓取敏感信息，包括受影响设备的进程内存中的 HTTP 请求主体。

研究人员指出，Citrix 公司在2月1日证实该漏洞存在，但后者并未分配CVE编号，原因是该公司已在漏洞披露前就在 NetScaler 13.1-51.15中将其修复。目前尚不清楚 Citrix 是否已经私下将漏洞披露给客户，或者是否将所提交的问题视为漏洞。研究人员表示并未直至目前发现对该漏洞的公开披露信息。

Citrix 并未回应上述问题，也并未回应该公司是否在13.1-51.15版本中修复之前披露了该漏洞。

Bishop Fox 公司的研究人员在本周发布的博客文章中，将该漏洞视作未经验证的界外内存问题，可导致攻击者访问程序预期边界之外的内存位置。研究人员表示他们能够利用该漏洞抓取敏感信息，包括从受影响设备的内存中抓取HTTP请求主体。博客文章指出，“它可导致攻击者获取由登录到 NetScaler ADC 和 Gateway 设备的用户提交的凭据，或者获取设备所使用的加密材料。”

和 CitrixBleed 一样，该漏洞影响用于远程访问且用作认证、授权和审计 (AAA) 服务器的NetScaler 组件。具体而言，研究人员发现 Gateway 和 AAA 虚拟服务器以不安全的方式处理 HTTP 主机请求表头，而它就是 CitrixBleed 的底层问题所在。研究人员通过 PoC 展示了攻击者如何利用该漏洞提取潜在有用信息。

Bishop Fox 公司提到，“Bishop Fox 员工分析了易受攻击的 Citrix 部署，发现在实例中，被披露的内存中包含来自HTTP请求的数据，有时候还包括POST请求主体。”Bishop Fox 建议运行受影响 NetScaler 版本的组织机构升级到13.1-51.15或更高版本。