(背景圖)Octavian Rosca on unsplash
Citrix分別在11月初及12月中傳出ADC及Gateway產品高風險漏洞,雖然Citrix已經釋出修補程式,但安全研究人員發現,仍然有數千家客戶還未修補2項漏洞,迄今仍曝露在風險下。
這2項影響Citrix ADC(原名NetScaler)及Gateway的漏洞,分別為CVE-2022-27510及CVE-2022-27518。前者可讓未經授權的攻擊者得以獲得Gateway使用者權限,後者則允許攻擊者遠端執行程式碼。兩者皆為風險值9.8的重大漏洞。其中CVE-2022-27518已經遭到駭客濫用,美國國安局則宣稱攻擊者是中國駭客APT5。這家業者也已釋出更新軟體版本以解決漏洞。
12月中Citrix公告,旗下Citrix ADC、Citrix Gateway存在CVE-2022-27518。同時Citrix發出資安通告,有人正利用CVE-2022-27518攻擊旗下的Citrix ADC、Citrix Gateway。美國國家安全局指出攻擊者的身分是中國駭客組織APT5。
資安廠商Fox IT近日針對Citrix產品修補狀況做了調查,顯示仍有大量企業未修補。Citrix ADC和Gateway的產品特性,其伺服器一般對網際網路開放。因此以一些搜尋引擎如Shodan和Censys掃瞄網際網路,可以辨識出連網伺服器。安全廠商Fox IT以此蒐集到SSL VPN及閘道服務曝險的ADC、Gateway伺服器清單。截至11月11日他們發現有2.8萬臺連網的Citrix ADC、Gateway伺服器。
經過了一番比對,研究人員比對出這些Citrix ADC和Gateway伺服器中,大部份已升級到13.0-88.14版,不受這兩個漏洞影響。但另外仍有1,000多臺受到CVE-2022-27510影響,有3,500臺執行的是受CVE-2022-27518影響的12.1-65.21版。有近3,000臺伺服器仍然存在兩項漏洞。
圖片來源/Fox IT
研究人員指出,要濫用CVE-2022-27518還需要伺服器預設啟用SAML,因此並不一定意謂著這3,500多臺伺服器一定會被駭,但用戶還是應該需要儘速更新軟體。
研究人員並未指出未補漏洞的Citrix伺服器的國家分布,但說明修補進度最快的國家,管理員在NSA發布安全公告後即快速回應,升級的比例分別是美國(42%)、德國(57%)、法國(56%)、加拿大(41%)、澳洲(50%)及瑞士(51%)、荷蘭(62%)。其中美國和德國也是原本曝險伺服器最多的國家,分別有近7,500臺及3,000多臺,顯示可能也是未補全漏洞的伺服器主要所在地。文⊙林妍溱
圖片來源/Fox IT
在Citrix的12月13日公告同日,美國國家安全局(NSA)亦發布Citrix ADC防護指引,是關於中國政府資助的駭客組織APT5(亦稱UNC2630、Manganese)將其用於攻擊行動,因此制定威脅獵捕指南,協助企業因應。文⊙iThome資安主編羅正漢 圖片來源/擷取自NSA
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-15