针对Citrix ADC和网关RCE漏洞发布的PoC攻击

现在或永远都无法阻止运行Citrix应用程序交付、负载平衡和网关解决方案的易受攻击版本的企业服务器受到远程攻击者的攻击。

为什么这么紧急？今天早些时候，多个组织公开发布了针对Citrix NetScaler ADC和网关产品中最近披露的远程代码执行漏洞的武器化概念验证攻击代码[1,2]，该漏洞可让任何人利用它们完全控制潜在的企业目标。

就在去年圣诞节和年终假期之前，Citrix宣布其Citrix Application Delivery Controller（ADC）和Citrix Gateway易受关键路径遍历漏洞（CVE-2019-19781）的攻击，该漏洞可能允许未经验证的攻击者在易受攻击的服务器上执行任意代码。

Citrix确认，该漏洞会影响所有受支持的软件版本，包括：

• Citrix ADC和Citrix Gateway 13.0版均支持所有版本
• Citrix ADC和NetScaler Gateway 12.1版均支持所有版本
• Citrix ADC和NetScaler Gateway 12.0版均支持所有版本
• Citrix ADC和NetScaler Gateway 11.1版均支持所有版本
• Citrix NetScaler ADC和NetScaler网关版本10.5都支持所有版本

该公司在没有发布任何针对易受攻击软件的安全补丁的情况下进行了披露；相反，Citrix提供了缓解措施，以帮助管理员保护其服务器免受潜在的远程攻击—即使在写这篇文章的时候，在泄密23天后也没有可用的补丁。


上周，针对易受攻击服务器的网络攻击首次在野外出现，当时黑客在反向工程缓解信息后开发了私人漏洞，公开发布武器化PoC现在将使低技能脚本小子更容易对易受攻击的组织发起网络攻击。

据Shodan称，在撰写本文时，有超过125400台Citrix ADC或网关服务器可公开访问，如果不离线或使用可用的缓解措施进行保护，这些服务器可以在一夜之间被利用。

在昨天发布的一篇博客文章中讨论了该漏洞的技术细节时，MDSsec还发布了一个视频演示，演示了他们开发的漏洞，但选择目前不发布。

除了应用建议的缓解措施外，还建议Citrix ADC管理员监控其设备日志以防攻击。