赶紧自己查查,数以千计的Citrix服务器存在严重的安全隐患Serioussecurityhole。第一个漏洞CVE-2022-27510已于11月8日修复。影响两个Citrix产品的身份验证绕过。第二个漏洞CVE-2022-27510已于12月13日披露并修复,它允许未经身份验证的攻击者在易受攻击的设备上执行远程命令并控制它们。然而,当Citrix发布安全更新修复该漏洞时,攻击者已经在大规模利用CVE-2022-27518漏洞。NCC集团公司FoxIT的研究人员报告说,虽然大多数面向公众的Citrix端点已更新为安全版本,但仍有数千个易受攻击。寻找易受攻击的版本FoxIT分析师于2022年11月11日扫描了网络,发现共有30,000台Citrix服务器在线。要确定有多少服务器受到上述两个漏洞的影响,安全研究人员首先需要确定它们的版本号。虽然版本号不包含在服务器的HTTP响应中,但它们确实带有MD5哈希等参数,可用于将它们与CitrixADC和网关产品版本相匹配。index.htm中的哈希因此,团队在VM上下载并部署了他们可以从Citrix、GoogleCloudMarketplace、AWS和Azure获得的所有CitrixADC版本,并将哈希与版本相匹配。将散列链接到版本(FoxIt)对于无法与源版本匹配的散列,研究人员求助于识别构建日期并从中推断出它们的版本号。将构建日期与哈希相关联(FoxIt)这进一步减少了未知版本(孤立哈希)的数量,但通常大多数哈希都与特定产品版本相关联。数千台易受攻击的Citrix服务器的最终结果如下图所示,显示截至2022年12月28日,大多数服务器的版本为13.0-88.14,不受这两个安全问题的影响。Citrix服务器版本(FoxIt)的第二大使用版本是12.1-65.21,如果满足某些条件,它容易受到CVE-2022-27518的攻击,至少有3500个端点在运行。攻击者利用的前提是这些服务器必须配置SAMLSP或IdP,所以并不是所有的3500系统都会受到CVE-2022-27518的影响。有超过1,000台服务器容易受到CVE-2022-27510的攻击,大约3,000个端点可能容易受到上述两个严重安全漏洞的攻击。最后,FoxIT团队希望其博客能够帮助提高Citrix管理员的意识,即他们没有针对最近存在严重缺陷的应用程序进行安全更新,这将使许多用户处于危险之中。并且统计数据还表明,厂商和企业在修复所有设备上的安全漏洞方面还有很多工作要做。参考来源:https://www.bleepingcomputer.com/news/security/thousands-of-citrix-servers-vulnerable-to-patched-critical-flaws/
