黑客正在利用未修补的 Citrix ADC 漏洞

• NSA 和 Citrix 宣布在 11 月和 12 月修补的两个关键漏洞正在受到攻击。
• NCC Group 的 Fox-IT 研究团队发现数以千计易受攻击的 Citrix 服务器至少存在其中一个漏洞。
• 美国国家安全局表示，国家资助的中国黑客组织正瞄准未打补丁的服务器来利用这些漏洞。

---

Citrix和网络安全专家警告用户不要针对 Citrix ADC 和 Citrix Gateway 漏洞进行攻击。跟踪为CVE-2022-27510和CVE-2022-27518的两个严重漏洞的CVSS 评分为 9.8。供应商在 11 月 8 日和 12 月 13 日解决了这些漏洞，但黑客仍在利用数以千计未打补丁的设备。

在野外开发

12月初，Citrix和美国国家安全局发布公告称，该漏洞正在被野蛮利用。美国国家安全局查明了一个由中国政府资助的黑客组织 APT5，也称为 UNC2630 和 MANGANESE。为了保护自己免受这些攻击，NSA 建议组织检查其环境中的关键可执行文件是否有任何偏差，对所有系统日志使用设备外日志记录机制，并使用 YARA 签名来检测恶意软件。

NSA 建议在适用于您的环境的范围内采取以下步骤来减轻活动： 

• 在能够访问 ADC 之前， 将所有 Citrix ADC 实例移到VPN或其他需要有效用户身份验证（最好是多因素）的功能后面。
• 将 Citrix ADC 设备与环境隔离，以确保包含任何恶意活动。 
• 将 Citrix ADC 恢复到已知的良好状态。

NCC Group 的 Fox-IT 研究团队也发表了对该问题的分析，并表示有数以千计面向互联网的未打补丁的 Citrix 服务器。根据结果​​，大多数都在版本 13.0-88.14 上，该版本不易受到这两个 CVE 的影响。第二受欢迎的版本是 12.1-65.21，它不易受 CVE-2022-27510 的影响，但容易受到 CVE-2022-27518 的影响。还有许多服务器根本不返回版本哈希，因此对于这些服务器，我们无法识别确切的版本。该团队设法找到了 3,500 多台易受 CVE-2022-27518 攻击的 Citrix ADC 和网关服务器。还有 500 多台服务器容易受到这两个缺陷的影响。