Citrix ADC和Citrix Gateway远程代码执行漏洞安全风险通告

admin
admin
admin
138858
文章
114
评论
2022年12月19日13:00:31评论78 views字数 3241阅读10分48秒阅读模式
Citrix ADC和Citrix Gateway远程代码执行漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



Citrix ADC和Citrix Gateway 是美国思杰(Citrix)公司的两款产品。Citrix ADC主要用于将用户对Web页面和其他受保护应用程序的请求分配到所有托管(或镜像)相同内容的多台服务器。Citrix Gateway则是一套安全的远程接入解决方案,可提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。


近日,奇安信CERT监测到 Citrix ADC和Citrix Gateway远程代码执行漏洞,由于系统未能在其整个生命周期(创建、使用和释放)保持对资源的控制,致使远程攻击者在未经身份验证的情况下可在目标系统上执行任意代码。鉴于该漏洞影响范围极大,且已监测到在野利用,建议客户尽快做好自查及防护。



漏洞名称

Citrix ADCCitrix Gateway远程代码执行漏洞

公开时间

2022-12-13

更新时间

2022-12-14

CVE编号

CVE-2022-27518

其他编号

QVD-2022-46341

威胁类型

代码执行

技术类型

生命周期控制资源不当

厂商

Citrix

产品

Citrix ADC

Citrix Gateway

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

已发现

未公开

漏洞描述

Citrix ADC和Citrix Gateway配置为安全断言标记语言(SAML)服务提供商(SP)或SAML身份提供商(IdP)时,存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞在目标系统上执行任意代码。

影响版本

Citrix ADC和Citrix Gateway 13.0-x < 13.0-58.32 

Citrix ADC和Citrix Gateway 12.1-x < 12.1-65.25

Citrix ADC 12.1-FIPS < 12.1-55.291 

Citrix ADC 12.1-NDcPP < 12.1-55.291 

不受影响版本

Citrix ADC和Citrix Gateway >= 13.0-58.32 

Citrix ADC和Citrix Gateway >= 12.1-65.25

Citrix ADC 12.1-FIPS >= 12.1-55.291 

Citrix ADC 12.1-NDcPP >= 12.1-55.291 

其他受影响组件



威胁评估

漏洞名称

Citrix ADCCitrix Gateway远程代码执行漏洞

CVE编号

CVE-2022-27518

其他编号

QVD-2022-46341

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

由于系统未能在其整个生命周期(创建、使用和释放)保持对资源的控制,致使远程攻击者在未经身份验证的情况下可在目标系统上执行任意代码。



处置建议

1升级版本

目前Citrix官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。
Citrix ADC和Citrix Gateway >= 13.0-58.32 
Citrix ADC和Citrix Gateway >= 12.1-65.25
Citrix ADC 12.1-FIPS >= 12.1-55.291 
Citrix ADC 12.1-NDcPP >= 12.1-55.291 


2、排查建议

(1)通过排查ns.conf文件以确定是否配置为SAML SP或SAML IdP,如果出现以下任意一条指令且为受影响版本则需立即更新:
add authentication samlActionadd authentication samlIdPProfile
(2)可通过以下YARA签名验证攻击者在该活动中使用的恶意软件:
rule tricklancer_a { strings: $str1 = "//var//log//ns.log" nocase ascii wide $str2 = "//var//log//cron" nocase ascii wide $str3 = "//var//log//auth.log" nocase ascii wide $str4 = "//var//log//httpaccess-vpn.log" nocase ascii wide $str5 = "//var//log//nsvpn.log" nocase ascii wide $str6 = "TF:YYYYMMddhhmmss" nocase ascii wide $str7 = "//var//log//lastlog" nocase ascii wide $str8 = "clear_utmp" nocase ascii wide $str9 = "clear_text_http" nocase ascii widecondition: 7 of ($str*)}rule tricklancer_b { strings: $str1 = "nsppe" nocase ascii wide $str2 = "pb_policy -h nothing" nocase ascii wide $str3 = "pb_policy -d" nocase ascii wide $str4 = "findProcessListByName" nocase ascii wide $str5 = "restoreStateAndDetach" nocase ascii wide $str6 = "checktargetsig" nocase ascii wide $str7 = "DoInject" nocase ascii wide $str8 = "DoUnInject" nocase ascii wide condition: 7 of ($str*)}rule tricklancer_c { strings: $str1 = "is_path_traversal_or_vpns_attack_request" nocase ascii wide $str2 = "ns_vpn_process_unauthenticated_request" nocase ascii wide $str3 = "mmapshell" nocase ascii wide $str4 = "DoUnInject" nocase ascii wide $str5 = "CalcDistanse" nocase ascii wide $str6 = "checkMyData" nocase ascii wide $str7 = "vpn_location_url_len" nocase ascii widecondition: 5 of ($str*) }

如果通过监测发现存在问题可通过以下措施进行缓解:

  • 在能够访问Citrix ADC之前,将所有Citrix ADC实例移动到VPN或其他存在身份验证(最好是多因素)的功能后面

  • 将Citrix ADC设备与环境隔离

  •  将Citrix ADC恢复至已知安全状态



参考资料

[1]https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

[2]https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/

[3]https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF



时间线

2022年12月14日,奇安信 CERT发布安全风险通告


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Citrix ADC和Citrix Gateway远程代码执行漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月19日13:00:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Citrix ADC和Citrix Gateway远程代码执行漏洞安全风险通告https://cn-sec.com/archives/1463717.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息