黑客利用关键的Citrix ADC和Gateway零日漏洞，立即打补丁-VPS资讯_海外云服务器资讯_海外服务器资讯

Citrix 强烈敦促管理员针对 Citrix ADC 和 Gateway 中的“严重”零日漏洞 (CVE-2022-27518) 应用安全更新，该漏洞被国家资助的黑客积极利用以获取对公司网络的访问权限。

这个新漏洞允许未经身份验证的攻击者在易受攻击的设备上远程执行命令并控制它们。

Citrix 警告管理员“尽快”安装最新更新，因为该漏洞在攻击中被积极利用。

Citrix 在随公告发布的安全更新中提到：“我们知道有少量利用此漏洞进行的有针对性的攻击。 ”

“我们敦促正在使用具有 SAML SP 或 IdP 配置的受影响版本的客户立即安装推荐的版本，因为此漏洞已被确定为严重漏洞。没有针对此漏洞的解决方法。” -思杰。

该漏洞影响以下版本的 Citrix ADC 和 Citrix Gateway：

仅当设备配置为 SAML SP（SAML 服务提供商） 或 SAML IdP（SAML 身份提供商）时，上述版本才会受到影响。

管理员可以通过检查“ns.conf”文件中的以下两个命令来确定设备的配置方式：

添加身份验证 samlAction
添加身份验证 samlIdPProfile

如果发现上述配置操作，管理员应立即更新他们的设备。

Citrix ADC 和 Citrix Gateway 版本 13.1 不受 CVE-2022-27518 的影响，因此升级到它可以解决安全问题。

建议使用旧版本的用户升级到 12.0 (12.1.65.25) 或 13.0 分支 (13.0.88.16) 的最新可用版本。

此外，Citrix ADC FIPS 和 Citrix ADC NDcPP 应升级到版本 12.1-55.291 或更高版本。

那些使用 Citrix 管理的云服务的人不必采取任何行动，因为供应商已经采取了适当的补救措施。

此外，敦促系统管理员参考 Citrix 针对 ADC 设备的“最佳实践”并实施供应商的安全建议。

被国家资助的黑客利用

虽然 Citrix 没有分享任何关于这个新漏洞是如何被滥用的细节，但美国国家安全局已经分享说，国家资助的 APT5 黑客（又名 UNC2630 和 MANGANESE）正在积极利用这个漏洞进行攻击。

“APT5 正在积极利用 Citrix 设备。@NSACyber 威胁搜寻指南链接如下，以识别和补救此活动，” 美国国家安全局网络安全主管 Rob Joyce说道。

在协调披露中，美国国家安全局发布了一份“ APT5：Citrix ADC 威胁搜寻指南”咨询，其中包含有关检测设备是否已被利用的信息以及有关保护 Citrix ADC 和网关设备的提示。

“APT5 已经展示了针对 Citrix® Application Delivery Controller™ (ADC™) 部署（“Citrix ADC”）的能力。以 Citrix ADC 为目标可以绕过正常的身份验证控制来促进对目标组织的非法访问，”美国国家安全局今天发布的公告中写道。

“因此，美国国家安全局与合作伙伴合作，制定了这份威胁搜寻指南，以提供组织可以采取的步骤来寻找此类活动的可能产物。请注意，本指南并不代表所有技术、战术或程序（ TTP）攻击者在针对这些环境时可能会使用” –国家安全局

APT5 被认为是一个由中国政府支持的黑客组织，以利用 VPN 设备中的零日漏洞获得初始访问权限并窃取敏感数据而闻名。

2021 年， APT5 利用 Pulse Secure VPN 设备中的零日漏洞入侵美国国防工业基地 (DIB) 网络。

虽然 APT5 目前是唯一已知的滥用该漏洞的威胁参与者，但既然它已被披露，我们很可能会看到其他组织很快就会开始利用它。

黑客在过去的攻击中利用了类似的安全问题，导致对公司网络的初始访问、勒索软件和数据盗窃。

2019 年，在 Citrix ADC 和 Citrix Gateway 中发现了一个跟踪为 CVE-2019-19781 的远程代码执行缺陷，并迅速成为勒索软件操作 ( 1、2 )、国家支持的 APT、使用缓解绕过的机会主义攻击者等的目标.

利用变得如此广泛滥用，以至于荷兰政府建议公司关闭他们的 Citrix ADC 和 Citrix Gateway 设备，直到管理员可以应用安全更新。