Citrix发布了针对受到主动攻击的关键ADC漏洞的修补程序

Citrix终于开始为ADC和网关软件中的一个关键漏洞发布安全补丁。在该公司宣布存在该问题而未发布任何永久性修复程序后，攻击者本月早些时候开始在野外利用该漏洞。

我希望我能说，“迟做总比不做好”，但由于黑客不会浪费时间或错过任何利用易受攻击系统的机会，即使是很短的时间窗口也会导致数百个暴露在互联网上的Citrix ADC和网关系统受损。

正如黑客新闻早些时候所解释的，该漏洞被追踪为CVE-2019-19781，是一个路径遍历问题，未经验证的远程攻击者可能会在多个版本的Citrix ADC和网关产品以及两个旧版本的Citrix SD-WAN WANOP上执行任意代码。

CVSS v3的额定临界值。1基本分数9.8，这个问题是由积极技术公司的安全研究员米哈伊尔·克柳什尼科夫发现的，他在12月初负责地向Citrix报告了这个问题。

自上周以来，数十个黑客组织和个人攻击者正在积极利用该漏洞—；多亏了多个概念验证利用代码的公开发布。

据网络安全专家称，截至今天，共有15000多台可公开访问的易受攻击Citrix ADC和网关服务器，攻击者可以利用这些服务器一夜之间攻击潜在的企业网络。

FireEye专家发现了一次攻击活动，有人在攻击易受攻击的Citrix ADC时，安装了一个以前看不见的负载，名为“NotRobin”，该负载扫描系统，寻找其他潜在攻击者部署的加密矿工和恶意软件，并将其移除，以保持独占后门访问。

#Citrix发布了一个免费工具，可以分析可用的日志源和系统取证工件，以确定ADC设备是否已使用CVE-2019-19781安全漏洞受到潜在危害。

您可以在此处找到工具和说明：https://t.co/eewijzI2l9#infosec https://t.co/YKMwgPzmYE

— 黑客新闻（@TheHackerNews）2020年1月22日

FireEye说：“这名演员利用NetScaler设备，使用CVE-2019-19781在受损设备上执行shell命令。”。

“FireEye认为，NOTROBIN背后的角色一直在机会主义地破坏NetScaler设备，可能是为了为即将到来的活动做准备。他们删除了其他已知的恶意软件，可能是为了避免被管理员发现。”

Citrix补丁时间线：请继续关注更多软件更新！

上周Citrix宣布了一个时间表，承诺在2020年1月底之前为所有受支持的ADC和网关软件版本发布补丁固件更新，如图所示。
作为第一批更新的一部分，Citrix今天发布了ADC版本11.1和12.0的永久补丁，这些补丁也适用于“托管在ESX、Hyper-V、KVM、XenServer、Azure、AWS、GCP或Citrix ADC服务交付设备（SDX）上的ADC和网关VPX”

Citrix在其咨询中表示：“有必要将所有Citrix ADC和Citrix Gateway 11.1实例（MPX或VPX）升级为build 11.1.63.15以安装安全漏洞修复程序。有必要将所有Citrix ADC和Citrix Gateway 12.0实例（MPX或VPX）升级为build 12.0.63.13以安装安全漏洞修复程序。”。

“我们敦促客户立即安装这些修复程序，”该公司说。“如果尚未执行此操作，则需要将之前提供的缓解措施应用于ADC版本12.1、13、10.5和SD-WAN WANOP版本10.2.6和11.0.3，直到这些版本的修复程序可用。”

该公司还警告，生产中有多个ADC版本的客户必须分别为每个系统应用正确版本的补丁。

除了为受支持的版本安装可用修补程序，并为未修补的系统应用建议的缓解措施外，还建议Citrix ADC管理员监控其设备日志以防攻击。

使现代化— Citrix周四还发布了第二批永久性安全补丁，用于解决影响ADC和网关版本12.1和13.0的关键RCE漏洞。