Citrix针对影响多个产品的11个新缺陷发布了关键补丁

Citrix昨日发布了新的安全补丁，修补了多达11个影响其Citrix应用程序交付控制器（ADC）、网关和SD-WAN WAN优化版（WANOP）网络产品的安全漏洞。

成功利用这些关键缺陷可能会让未经验证的攻击者对网关或验证虚拟服务器执行代码注入、信息泄露，甚至拒绝服务攻击。

Citrix确认上述问题不会影响其他虚拟服务器，例如负载平衡和内容交换虚拟服务器。

受影响的Citrix SD-WAN WANOP设备包括4000-WO、4100-WO、5000-WO和5100-WO型。

该网络供应商还重申，这些漏洞与之前修复的零日NetScaler漏洞（标记为CVE-2019-19781）无关，该漏洞允许坏参与者在没有适当身份验证的情况下执行任意代码。

它还表示，没有证据表明新披露的缺陷是在野外被利用的，利用这些缺陷的障碍很高。

Citrix的CISO Fermin Serna说：“在11个漏洞中，有6个可能的攻击路径；其中5个存在漏洞利用的障碍。”。“其余三种可能的攻击中有两种还需要某种形式的现有访问。这实际上意味着外部恶意参与者首先需要获得对易受攻击设备的未经授权访问，才能进行攻击。”

尽管Citrix没有公布漏洞的技术细节，理由是恶意参与者试图利用补丁和信息对漏洞进行反向工程，但对产品管理界面的攻击可能会导致未经验证的用户破坏系统，或者通过管理界面上的跨站点脚本（XSS）。

对手还可以为易受攻击的设备创建下载链接，这可能导致未经验证的用户在管理网络上执行操作时破坏本地计算机。

第二类攻击涉及虚拟IP（VIP），允许攻击者针对网关安装DoS或远程扫描内部网络的端口。

Citrix在其公告中指出：“攻击者只能识别TLS连接是否可能与端口连接，并且无法与终端设备进一步通信。”。

此外，Citrix Gateway Plug-In for Linux（CVE-2020-8199）中的另一个漏洞将授予Linux系统的本地登录用户将其权限提升到该系统上的管理员帐户。

根据去年12月的一份积极技术报告，全球超过80000家组织使用了流量管理和安全远程访问应用程序。

建议尽快下载并应用Citrix ADC、Citrix Gateway和Citrix SD-WAN WANOP设备的最新版本，以降低风险并抵御旨在利用这些缺陷的潜在攻击。