Citrix 修复 Ubuntu 版本安全访问客户端中的严重漏洞

NIST 发布安全公告指出，“Citrix Secure Acess for Ubuntu 中存在一个漏洞，如遭利用，则只需受害者用户打开由攻击者构造的链接并接受进一步的提示，就可远程利用代码。”

虽然 Citrix 公司并未提供任何技术详情，但表示适用于 Ubuntu 版本的 Secure Access 客户端版本23.5.2中已修复该漏洞。

本周二，Citrix 还修复了位于Windows 版本 Secure Access 客户端中的一个高危提权漏洞CVE-2023-24491（CVSS评分7.8）。攻击者如能以标准用户账户访问端点以及拥有一个易受攻击客户端，则可提权至 NT AuthoritySystem。

该漏洞已在Windows 版本23.5.1.3中修复。

这两个漏洞都是由 F2TC Cyber Security 公司的研究员 Rilke Petrosky 发现并报告的。

建议客户尽快升级版本，如通过 ADC 或 Gateway 的SSL VPN 更新控制性能更新进行发行，则 Citrix ADC 或 Gateway 上的易受攻击客户端。然而，Citrix 还发布独立的 Secure Access 客户端，客户可直接在用户设备上安装或更新已修复版本。

Citrix 并未提到这些漏洞是否遭利用，但未修复 Citrix 产品遭恶意攻击并不少见。Citrix 还在安全通告页面上发布了更多详情。