Citrix ADC、Gateway高风险漏洞仍有数千用户未补

Citrix分别在11月初及12月中传出ADC及Gateway产品高风险漏洞，虽然Citrix已经释出修补程序，但安全研究人员发现，仍然有数千家客户还未修补2项漏洞，迄今仍曝露在风险下。

这2项影响Citrix ADC（原名NetScaler）及Gateway的漏洞，分别为CVE-2022-27510及CVE-2022-27518。 前者可让未经授权的攻击者得以获得Gateway用户权限，后者则允许攻击者远程执行代码。 两者皆为风险值9.8的重大漏洞。 其中CVE-2022-27518已经遭到黑客滥用，美国国安局则宣称攻击者是中国黑客APT5。 这家业者也已释出更新软件版本以解决漏洞。

12月中Citrix公告，旗下Citrix ADC、Citrix Gateway存在CVE-2022-27518。 同时Citrix发出资安通告，有人正利用CVE-2022-27518攻击旗下的Citrix ADC、Citrix Gateway。 美国国家安全局指出攻击者的身分是中国黑客组织APT5。

资安厂商Fox IT近日针对Citrix产品修补状况做了调查，显示仍有大量企业未修补。 Citrix ADC和Gateway的产品特性，其服务器一般对互联网开放。 因此以一些搜索引擎如Shodan和Censys扫瞄互联网，可以识别出连网服务器。 安全厂商Fox IT以此搜集到SSL VPN及网关服务曝险的ADC、Gateway服务器列表。 截至11月11日他们发现有2.8万台连网的Citrix ADC、Gateway服务器。

经过了一番比对，研究人员比对出这些Citrix ADC和Gateway服务器中，大部份已升级到13.0-88.14版，不受这两个漏洞影响。 但另外仍有1，000多台受到CVE-2022-27510影响，有3，500台执行的是受CVE-2022-27518影响的12.1-65.21版。 有近3，000台服务器仍然存在两项漏洞。

图片来源/Fox IT

研究人员指出，要滥用CVE-2022-27518还需要服务器预设启用SAML，因此并不一定意谓着这3，500多台服务器一定会被骇，但用户还是应该需要尽速更新软件。

研究人员并未指出未补漏洞的Citrix服务器的国家分布，但说明修补进度最快的国家，管理员在NSA发布安全公告后即快速响应，升级的比例分别是美国（42%）、德国（57%）、法国（56%）、加拿大（41%）、澳洲（50%）及瑞士（51%）、荷兰（62%）。 其中美国和德国也是原本曝险服务器最多的国家，分别有近7，500台及3，000多台，显示可能也是未补全漏洞的服务器主要所在地。

图片来源/Fox IT