Citrix针对影响ADC和网关产品的关键缺陷发布修补程序

Citrix发布了安全更新，以解决应用程序交付控制器（ADC）和网关产品中的一个关键身份验证绕过漏洞，该漏洞可能被用来控制受影响的系统。

成功利用这些问题可以使对手获得授权访问、执行远程桌面接管，甚至可以在特定配置下绕过针对登录暴力尝试的防御。

• 电子邮箱2022-27510-未经授权访问网关用户功能
• 电子邮箱2022-27513-通过网络钓鱼进行远程桌面接管
• 电子邮箱2022-27516-绕过用户登录暴力保护功能

以下受支持的Citrix ADC和Citrix网关版本受缺陷影响-

• Citrix ADC和Citrix网关13.1之前的版本13.1-33.47
• Citrix ADC和Citrix网关13.0-88.12之前的版本
• Citrix ADC和Citrix网关12.1（12.1.65.21之前）
• Citrix ADC 12.1-FIPS 12.1-55.289之前的版本
• Citrix ADC 12.1-NDcPP 12.1-55.289之前的版本

然而，在CVE-2022-27516的情况下，如果设备被配置为VPN（网关）或身份验证、授权和计费（AAA）虚拟服务器，则可以进行攻击。

除此之外，CVE-2022-27513和CVE-2022-2027516也仅在分别设置RDP代理功能和用户锁定功能“最大登录尝试次数”时适用。

这家云计算和虚拟化技术公司表示，依赖Citrix直接管理的云服务的客户无需采取任何行动。

波兰渗透测试公司Securium的研究员雅罗斯瓦夫·贾雷克·卡明斯基被认为发现并报告了漏洞。

Citrix在一份咨询中表示：“受影响的Citrix ADC和Citrix Gateway客户建议尽快安装Citrix ADC或Citrix Gateway的相关更新版本”。