Citrix ADC、Gateway高風險漏洞仍有數千用戶未補

Citrix分別在11月初及12月中傳出ADC及Gateway產品高風險漏洞，雖然Citrix已經釋出修補程式，但安全研究人員發現，仍然有數千家客戶還未修補2項漏洞，迄今仍曝露在風險下。

這2項影響Citrix ADC（原名NetScaler）及Gateway的漏洞，分別為CVE-2022-27510及CVE-2022-27518。前者可讓未經授權的攻擊者得以獲得Gateway使用者權限，後者則允許攻擊者遠端執行程式碼。兩者皆為風險值9.8的重大漏洞。其中CVE-2022-27518已經遭到駭客濫用，美國國安局則宣稱攻擊者是中國駭客APT5。這家業者也已釋出更新軟體版本以解決漏洞。

12月中Citrix公告，旗下Citrix ADC、Citrix Gateway存在CVE-2022-27518。同時Citrix發出資安通告，有人正利用CVE-2022-27518攻擊旗下的Citrix ADC、Citrix Gateway。美國國家安全局指出攻擊者的身分是中國駭客組織APT5。

資安廠商Fox IT近日針對Citrix產品修補狀況做了調查，顯示仍有大量企業未修補。Citrix ADC和Gateway的產品特性，其伺服器一般對網際網路開放。因此以一些搜尋引擎如Shodan和Censys掃瞄網際網路，可以辨識出連網伺服器。安全廠商Fox IT以此蒐集到SSL VPN及閘道服務曝險的ADC、Gateway伺服器清單。截至11月11日他們發現有2.8萬臺連網的Citrix ADC、Gateway伺服器。

經過了一番比對，研究人員比對出這些Citrix ADC和Gateway伺服器中，大部份已升級到13.0-88.14版，不受這兩個漏洞影響。但另外仍有1,000多臺受到CVE-2022-27510影響，有3,500臺執行的是受CVE-2022-27518影響的12.1-65.21版。有近3,000臺伺服器仍然存在兩項漏洞。

圖片來源／Fox IT

研究人員指出，要濫用CVE-2022-27518還需要伺服器預設啟用SAML，因此並不一定意謂著這3,500多臺伺服器一定會被駭，但用戶還是應該需要儘速更新軟體。

研究人員並未指出未補漏洞的Citrix伺服器的國家分布，但說明修補進度最快的國家，管理員在NSA發布安全公告後即快速回應，升級的比例分別是美國（42%）、德國（57%）、法國（56%）、加拿大（41%）、澳洲（50%）及瑞士（51%）、荷蘭（62%）。其中美國和德國也是原本曝險伺服器最多的國家，分別有近7,500臺及3,000多臺，顯示可能也是未補全漏洞的伺服器主要所在地。文⊙林妍溱

圖片來源／Fox IT

在Citrix的12月13日公告同日，美國國家安全局（NSA）亦發布Citrix ADC防護指引，是關於中國政府資助的駭客組織APT5（亦稱UNC2630、Manganese）將其用於攻擊行動，因此制定威脅獵捕指南，協助企業因應。文⊙iThome資安主編羅正漢 　圖片來源／擷取自NSA