Citrix ADC和Citrix Gateway 是美国思杰(Citrix)公司的两款产品。Citrix ADC主要用于将用户对Web页面和其他受保护应用程序的请求分配到所有托管(或镜像)相同内容的多台服务器。Citrix Gateway则是一套安全的远程接入解决方案,可提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。
近日,奇安信CERT监测到 Citrix ADC和Citrix Gateway远程代码执行漏洞,由于系统未能在其整个生命周期(创建、使用和释放)保持对资源的控制,致使远程攻击者在未经身份验证的情况下可在目标系统上执行任意代码。鉴于该漏洞影响范围极大,且已监测到在野利用,建议客户尽快做好自查及防护。
漏洞名称 | Citrix ADC和Citrix Gateway远程代码执行漏洞 | ||
公开时间 | 2022-12-13 | 更新时间 | 2022-12-14 |
CVE编号 | CVE-2022-27518 | 其他编号 | QVD-2022-46341 |
威胁类型 | 代码执行 | 技术类型 | 生命周期控制资源不当 |
厂商 | Citrix | 产品 | Citrix ADC Citrix Gateway |
风险等级 | |||
奇安信CERT风险评级 | 风险等级 | ||
高危 | 蓝色(一般事件) | ||
现时威胁状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
未发现 | 未发现 | 已发现 | 未公开 |
漏洞描述 | Citrix ADC和Citrix Gateway配置为安全断言标记语言(SAML)服务提供商(SP)或SAML身份提供商(IdP)时,存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞在目标系统上执行任意代码。 | ||
影响版本 | Citrix ADC和Citrix Gateway 13.0-x < 13.0-58.32 Citrix ADC和Citrix Gateway 12.1-x < 12.1-65.25 Citrix ADC 12.1-FIPS < 12.1-55.291 Citrix ADC 12.1-NDcPP < 12.1-55.291 | ||
不受影响版本 | Citrix ADC和Citrix Gateway >= 13.0-58.32 Citrix ADC和Citrix Gateway >= 12.1-65.25 Citrix ADC 12.1-FIPS >= 12.1-55.291 Citrix ADC 12.1-NDcPP >= 12.1-55.291 | ||
其他受影响组件 | 无 |
威胁评估
漏洞名称 | Citrix ADC和Citrix Gateway远程代码执行漏洞 | |||
CVE编号 | CVE-2022-27518 | 其他编号 | QVD-2022-46341 | |
CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 9.8 | |
CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | ||
网络 | 低 | |||
所需权限(PR) | 用户交互(UI) | |||
无 | 不需要 | |||
影响范围(S) | 机密性影响(C) | |||
不改变 | 高 | |||
完整性影响(I) | 可用性影响(A) | |||
高 | 高 | |||
危害描述 | 由于系统未能在其整个生命周期(创建、使用和释放)保持对资源的控制,致使远程攻击者在未经身份验证的情况下可在目标系统上执行任意代码。 |
处置建议
1、升级版本
目前Citrix官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。
Citrix ADC和Citrix Gateway >= 13.0-58.32
Citrix ADC和Citrix Gateway >= 12.1-65.25
Citrix ADC 12.1-FIPS >= 12.1-55.291
Citrix ADC 12.1-NDcPP >= 12.1-55.291
2、排查建议
(1)通过排查ns.conf文件以确定是否配置为SAML SP或SAML IdP,如果出现以下任意一条指令且为受影响版本则需立即更新:
add authentication samlAction
add authentication samlIdPProfile
(2)可通过以下YARA签名验证攻击者在该活动中使用的恶意软件:
rule tricklancer_a {
strings:
$str1 ="//var//log//ns.log" nocase ascii wide
$str2 ="//var//log//cron" nocase ascii wide
$str3 ="//var//log//auth.log" nocase ascii wide
$str4 ="//var//log//httpaccess-vpn.log" nocase ascii wide
$str5 ="//var//log//nsvpn.log" nocase ascii wide
$str6 ="TF:YYYYMMddhhmmss" nocase ascii wide
$str7 ="//var//log//lastlog" nocase ascii wide
$str8 ="clear_utmp" nocase ascii wide
$str9 ="clear_text_http" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_b {
strings:
$str1 ="nsppe" nocase ascii wide
$str2 ="pb_policy -h nothing" nocase ascii wide
$str3 ="pb_policy -d" nocase ascii wide
$str4 ="findProcessListByName" nocase ascii wide
$str5 ="restoreStateAndDetach" nocase ascii wide
$str6 ="checktargetsig" nocase ascii wide
$str7 ="DoInject" nocase ascii wide
$str8 ="DoUnInject" nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_c {
strings:
$str1 ="is_path_traversal_or_vpns_attack_request" nocase ascii wide
$str2 ="ns_vpn_process_unauthenticated_request" nocase ascii wide
$str3 ="mmapshell" nocase ascii wide
$str4 ="DoUnInject" nocase ascii wide
$str5 ="CalcDistanse" nocase ascii wide
$str6 ="checkMyData" nocase ascii wide
$str7 ="vpn_location_url_len" nocase ascii wide
condition:
5 of ($str*)
}
如果通过监测发现存在问题可通过以下措施进行缓解:
在能够访问Citrix ADC之前,将所有Citrix ADC实例移动到VPN或其他存在身份验证(最好是多因素)的功能后面
将Citrix ADC设备与环境隔离
将Citrix ADC恢复至已知安全状态
参考资料
[1]https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
[2]https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/
[3]https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。