【漏洞通告】Citrix ADC & Gateway遠程代碼執行漏洞（CVE-2022-27518）-啟明星辰

<button id="hmaw9"><acronym id="hmaw9"></acronym></button>

<nav id="hmaw9"></nav>

首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Citrix ADC & Gateway遠程代碼執行漏洞（CVE-2022-27518）

發布時間 2022-12-15

0x00 漏洞概述

CVE ID	CVE-2022-27518	發現時間	2022-12-14
類型	代碼執行	等級	嚴重
遠程利用	是	影響范圍
攻擊復雜度	低	用戶交互	無
PoC/EXP		在野利用	是

0x01 漏洞詳情

Citrix ADC和Gateway都是美國思杰（Citrix）公司的產品。Citrix Gateway是一套安全的遠程接入解決方案，可提供應用級和數據級管控功能，以實現用戶從任何地點遠程訪問應用和數據；Citrix ADC是一個全面的應用程序交付和負載平衡解決方案，用于實現應用程序安全性、整體可見性和可用性。

12月13日，Citrix發布安全公告，修復了Citrix ADC 和 Citrix Gateway中的一個遠程代碼執行漏洞（CVE-2022-27518），該漏洞的CVSSv3評分為9.8，目前已檢測到漏洞利用。

Citrix ADC和Citrix Gateway多個受影響版本在配置為SAML SP（SAML服務提供商）或SAML IdP（SAML身份提供商）時，存在資源在其生命周期內的控制不當問題，可能導致未經身份驗證的遠程主機在設備上執行任意代碼。

影響范圍

Citrix ADC和Citrix Gateway 13.0-x：< 13.0-58.32

Citrix ADC和?Citrix?Gateway?12.1-x：<?12.1-65.25

Citrix ADC 12.1-FIPS：< 12.1-55.291

Citrix ADC 12.1-NDcPP：< 12.1-55.291

注：Citrix ADC 和 Citrix Gateway 版本 13.1 不受影響。

0x02 安全建議

目前該漏洞已經修復，受影響用戶可升級到以下版本：

Citrix ADC和Citrix Gateway 13.0-x：>= 13.0-58.32

Citrix ADC和?Citrix?Gateway?12.1-x：>= 12.1-65.25

Citrix ADC 12.1-FIPS：>= 12.1-55.291

Citrix ADC 12.1-NDcPP：>= 12.1-55.291

Citrix ADC更新下載鏈接：

https://www.citrix.com/downloads/citrix-adc/

Citrix Gateway更新下載鏈接：

https://www.citrix.com/downloads/citrix-gateway/

排查

使用受影響版本的用戶可以通過檢查 ns.conf 文件中的以下命令來確定Citrix ADC 或 Citrix Gateway 是否被配置為 SAML SP 或者 SAML IdP，如果以下任一命令出現在 ns.conf 文件中并且使用的是受影響的版本，則必須更新設備：

add authentication samlaction //設備被配置為 SAML SP

add authentication samlIdpProfile //設備被配置為 SAML IdP

NSA已針對該漏洞發布了安全咨詢，其中包括惡意行為者針對 Citrix ADC所利用工具的檢測和緩解指南：

YARA簽名：

rule tricklancer_a {

strings:

$str1 = "//var//log//ns.log" nocase ascii wide

$str2 = "//var//log//cron" nocase ascii wide

$str3 = "//var//log//auth.log" nocase ascii wide

$str4 = "//var//log//httpaccess-vpn.log" nocase ascii wide

$str5 = "//var//log//nsvpn.log" nocase ascii wide

$str6 = "TF:YYYYMMddhhmmss" nocase ascii wide

$str7 = "//var//log//lastlog" nocase ascii wide

$str8 = "clear_utmp" nocase ascii wide

$str9 = "clear_text_http" nocase ascii wide

condition:

7 of ($str*)

}

rule tricklancer_b {

strings:

$str1 = "nsppe" nocase ascii wide

$str2 = "pb_policy -h nothing" nocase ascii wide

$str3 = "pb_policy -d" nocase ascii wide

$str4 = "findProcessListByName" nocase ascii wide

$str5 = "restoreStateAndDetach" nocase ascii wide

$str6 = "checktargetsig" nocase ascii wide

$str7 = "DoInject" nocase ascii wide

$str8 = "DoUnInject" nocase ascii wide

condition:

7 of ($str*)

}

rule tricklancer_c {

strings:

$str1 = "is_path_traversal_or_vpns_attack_request" nocase ascii wide

$str2 = "ns_vpn_process_unauthenticated_request" nocase ascii wide

$str3 = "mmapshell" nocase ascii wide

$str4 = "DoUnInject" nocase ascii wide

$str5 = "CalcDistanse" nocase ascii wide

$str6 = "checkMyData" nocase ascii wide

$str7 = "vpn_location_url_len" nocase ascii wide

condition:

5 of ($str*)

}

緩解措施：

l 在能夠訪問ADC之前，將所有Citrix ADC實例移動到需要有效用戶身份驗證（理想情況下是多因素）的VPN或其他功能之后。

l 將Citrix ADC設備與環境隔離，以確保任何惡意活動得到遏制。

l 將Citrix ADC恢復到一個已知的良好狀態。

l 即使沒有任何惡意活動的跡象，也要確保Citrix ADC設備正在運行最新版本。

0x03 參考鏈接

https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/amp/

https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF

0x04 版本信息

版本	日期	修改內容
V1.0	2022-12-15	首次發布

0x05 附錄

公司簡介

啟明星辰成立于1996年，是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈，公司員工6000余人，研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個，擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。（股票代碼：002439）

多年來，啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務，幫助客戶全面提升其IT基礎設施的安全性和生產效能，為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號，獲取全球最新安全資訊：

上一篇下一篇

7*24小時服務熱線

400-624-3900

官方微信

官方微博

法律聲明

Copyright ? 啟明星辰版權所有京ICP備05032414號京公網安備11010802024551號

日韩一级无码精品电影,99re99精品精品免费,91精品网曝门事件在线观看,日韩欧美精品户外