沒修補Citrix重大漏洞讓駭客有機可趁，全球最大遊輪業者Carnival遭勒索軟體攻擊

全球最大遊輪業者Carnival本周坦承，該集團旗下某一品牌的資訊系統在8月15日遭到勒索軟體攻擊，駭客下載並加密了特定的資料，包含客戶與員工資料，目前Carnival仍與執法機關及鑑識機構合作進行調查。

成立於1972年的Carnival為全球最大的遊輪業者，旗下有十多個遊輪品牌，包括公主遊輪、愛達遊輪或嘉年華遊輪等，總計有超過100艘遊輪在全球航行，員工數為15萬，每年載運的旅客數量則有1,300萬。

Carnival只透露有一個品牌的資訊系統被駭客入侵，員工與客戶資料被存取，系統遭加密，但並未公布被駭品牌或勒索軟體名稱，只強調其它品牌或該公司的營運並未受到波及。

在Bleeping Computer發表該新聞時，資安業者Bad Packets旋即回覆該攻擊行動並不令人訝異，因為Carnival使用了許多含有CVE-2019-19781漏洞的Citrix伺服器。

CVE-2019-19781漏洞藏匿在Citrix應用程式交付控制器（Application Delivery Controller，ADC）與Citrix Gateway上，前者為一應用程式交付與負載平衡解決方案，後者則是一個自遠端存取混合雲端與SaaS服務的解決方案，皆為Citrix的知名產品。

CVE-2019-19781屬於路徑穿越漏洞，成功的開採將允許駭客無需經過認證而執行任意程式，在去年12月揭露後，攻擊程式在一個月內便現身，使得美國國土安全部及Citrix相繼釋出CVE-2019-19781漏洞掃描工具，協助使用者辨識系統上是否含有該漏洞以便展開修補。

Carnival顯然沒有採取最佳安全措施，此一案例再度彰顯了及時修補重大安全漏洞的重要性。