Citrix ADC和Citrix Gateway 是美国思杰(Citrix)公司的两款产品。Citrix ADC主要用于将用户对Web页面和其他受保护应用程序的请求分配到所有托管(或镜像)相同内容的多台服务器。Citrix Gateway则是一套安全的远程接入解决方案,可提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。

近日,奇安信CERT监测到 Citrix ADC和Citrix Gateway远程代码执行漏洞,由于系统未能在其整个生命周期(创建、使用和释放)保持对资源的控制,致使远程攻击者在未经身份验证的情况下可在目标系统上执行任意代码。鉴于该漏洞影响范围极大,且已监测到在野利用,建议客户尽快做好自查及防护。

漏洞名称

Citrix ADCCitrix Gateway远程代码执行漏洞

公开时间

2022-12-13

更新时间

2022-12-14

CVE编号

CVE-2022-27518

其他编号

QVD-2022-46341

威胁类型

代码执行

技术类型

生命周期控制资源不当

厂商

Citrix

产品

Citrix ADC

Citrix Gateway

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

已发现

未公开

漏洞描述

Citrix ADC和Citrix Gateway配置为安全断言标记语言(SAML)服务提供商(SP)或SAML身份提供商(IdP)时,存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞在目标系统上执行任意代码。

影响版本

Citrix ADC和Citrix Gateway 13.0-x < 13.0-58.32

Citrix ADC和Citrix Gateway 12.1-x < 12.1-65.25

Citrix ADC 12.1-FIPS < 12.1-55.291

Citrix ADC 12.1-NDcPP < 12.1-55.291

不受影响版本

Citrix ADC和Citrix Gateway >= 13.0-58.32

Citrix ADC和Citrix Gateway >= 12.1-65.25

Citrix ADC 12.1-FIPS >= 12.1-55.291

Citrix ADC 12.1-NDcPP >= 12.1-55.291

其他受影响组件

威胁评估

漏洞名称

Citrix ADCCitrix Gateway远程代码执行漏洞

CVE编号

CVE-2022-27518

其他编号

QVD-2022-46341

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

由于系统未能在其整个生命周期(创建、使用和释放)保持对资源的控制,致使远程攻击者在未经身份验证的情况下可在目标系统上执行任意代码。

处置建议

1、升级版本

目前Citrix官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。

Citrix ADC和Citrix Gateway >= 13.0-58.32

Citrix ADC和Citrix Gateway >= 12.1-65.25

Citrix ADC 12.1-FIPS >= 12.1-55.291

Citrix ADC 12.1-NDcPP >= 12.1-55.291

2、排查建议

(1)通过排查ns.conf文件以确定是否配置为SAML SP或SAML IdP,如果出现以下任意一条指令且为受影响版本则需立即更新:

    add authentication samlActionadd authentication samlIdPProfile

    (2)可通过以下YARA签名验证攻击者在该活动中使用的恶意软件:

      rule tricklancer_a { strings:$str1 ="//var//log//ns.log" nocase ascii wide$str2 ="//var//log//cron" nocase ascii wide$str3 ="//var//log//auth.log" nocase ascii wide$str4 ="//var//log//httpaccess-vpn.log" nocase ascii wide$str5 ="//var//log//nsvpn.log" nocase ascii wide$str6 ="TF:YYYYMMddhhmmss" nocase ascii wide$str7 ="//var//log//lastlog" nocase ascii wide$str8 ="clear_utmp" nocase ascii wide$str9 ="clear_text_http" nocase ascii widecondition: 7 of ($str*)}rule tricklancer_b { strings:$str1 ="nsppe" nocase ascii wide$str2 ="pb_policy -h nothing" nocase ascii wide$str3 ="pb_policy -d" nocase ascii wide$str4 ="findProcessListByName" nocase ascii wide$str5 ="restoreStateAndDetach" nocase ascii wide$str6 ="checktargetsig" nocase ascii wide$str7 ="DoInject" nocase ascii wide$str8 ="DoUnInject" nocase ascii wide condition: 7 of ($str*)}rule tricklancer_c { strings:$str1 ="is_path_traversal_or_vpns_attack_request" nocase ascii wide$str2 ="ns_vpn_process_unauthenticated_request" nocase ascii wide$str3 ="mmapshell" nocase ascii wide$str4 ="DoUnInject" nocase ascii wide$str5 ="CalcDistanse" nocase ascii wide$str6 ="checkMyData" nocase ascii wide$str7 ="vpn_location_url_len" nocase ascii widecondition: 5 of ($str*) }

      如果通过监测发现存在问题可通过以下措施进行缓解:

      • 在能够访问Citrix ADC之前,将所有Citrix ADC实例移动到VPN或其他存在身份验证(最好是多因素)的功能后面

      • 将Citrix ADC设备与环境隔离

      • 将Citrix ADC恢复至已知安全状态

      参考资料

      [1]https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

      [2]https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/

      [3]https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF

      声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。