0x00 漏洞概述
CVE ID | CVE-2022-27518 | 發現時間 | 2022-12-14 |
類 型 | 程式碼執行 | 等 級 | 嚴重 |
遠端利用 | 是 | 影響範圍 | |
攻擊複雜度 | 低 | 使用者互動 | 無 |
PoC/EXP | 在野利用 | 是 |
0x01 漏洞詳情
Citrix ADC和Gateway都是美國思傑(Citrix)公司的產品。Citrix Gateway是一套安全的遠端接入解決方案,可提供應用級和資料級管控功能,以實現使用者從任何地點遠端訪問應用和資料;Citrix ADC是一個全面的應用程序交付和負載平衡解決方案,用於實現應用程序安全性、整體可見性和可用性。
12月13日,Citrix發佈安全公告,修復了Citrix ADC 和 Citrix Gateway中的一個遠端程式碼執行漏洞(CVE-2022-27518),該漏洞的CVSSv3評分為9.8,目前已檢測到漏洞利用。
Citrix ADC和Citrix Gateway多個受影響版本在配置為SAML SP(SAML服務提供商)或SAML IdP(SAML身份提供商)時,存在資源在其生命週期內的控制不當問題,可能導致未經身份驗證的遠端主機在設備上執行任意程式碼。
影響範圍
Citrix ADC和Citrix Gateway 13.0-x:< 13.0-58.32
Citrix ADC和 Citrix Gateway 12.1-x:< 12.1-65.25
Citrix ADC 12.1-FIPS:< 12.1-55.291
Citrix ADC 12.1-NDcPP:< 12.1-55.291
注:Citrix ADC 和 Citrix Gateway 版本 13.1 不受影響。
0x02 安全建議
目前該漏洞已經修復,受影響使用者可升級到以下版本:
Citrix ADC和Citrix Gateway 13.0-x:>= 13.0-58.32
Citrix ADC和 Citrix Gateway 12.1-x:>= 12.1-65.25
Citrix ADC 12.1-FIPS:>= 12.1-55.291
Citrix ADC 12.1-NDcPP:>= 12.1-55.291
Citrix ADC更新下載連結:
https://www.citrix.com/downloads/citrix-adc/
Citrix Gateway更新下載連結:
https://www.citrix.com/downloads/citrix-gateway/
排查
使用受影響版本的使用者可以通過檢查 ns.conf 檔案中的以下命令來確定Citrix ADC 或 Citrix Gateway 是否被配置為 SAML SP 或者 SAML IdP,如果以下任一命令出現在 ns.conf 檔案中並且使用的是受影響的版本,則必須更新設備:
add authentication samlaction //設備被配置為 SAML SP
add authentication samlIdpProfile //設備被配置為 SAML IdP
NSA已針對該漏洞發佈了安全諮詢,其中包括惡意行為者針對 Citrix ADC 所利用工具的檢測和緩解指南:
YARA簽名:
rule tricklancer_a {
strings:
$str1 = “//var//log//ns.log” nocase ascii wide
$str2 = “//var//log//cron” nocase ascii wide
$str3 = “//var//log//auth.log” nocase ascii wide
$str4 = “//var//log//httpaccess-vpn.log” nocase ascii wide
$str5 = “//var//log//nsvpn.log” nocase ascii wide
$str6 = “TF:YYYYMMddhhmmss” nocase ascii wide
$str7 = “//var//log//lastlog” nocase ascii wide
$str8 = “clear_utmp” nocase ascii wide
$str9 = “clear_text_http” nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_b {
strings:
$str1 = “nsppe” nocase ascii wide
$str2 = “pb_policy -h nothing” nocase ascii wide
$str3 = “pb_policy -d” nocase ascii wide
$str4 = “findProcessListByName” nocase ascii wide
$str5 = “restoreStateAndDetach” nocase ascii wide
$str6 = “checktargetsig” nocase ascii wide
$str7 = “DoInject” nocase ascii wide
$str8 = “DoUnInject” nocase ascii wide
condition:
7 of ($str*)
}
rule tricklancer_c {
strings:
$str1 = “is_path_traversal_or_vpns_attack_request” nocase ascii wide
$str2 = “ns_vpn_process_unauthenticated_request” nocase ascii wide
$str3 = “mmapshell” nocase ascii wide
$str4 = “DoUnInject” nocase ascii wide
$str5 = “CalcDistanse” nocase ascii wide
$str6 = “checkMyData” nocase ascii wide
$str7 = “vpn_location_url_len” nocase ascii wide
condition:
5 of ($str*)
}
緩解措施:
在能夠訪問ADC之前,將所有Citrix ADC實例移動到需要有效使用者身份驗證(理想情況下是多因素)的VPN或其他功能之後。
將Citrix ADC設備與環境隔離,以確保任何惡意活動得到遏制。
將Citrix ADC恢復到一個已知的良好狀態。
即使沒有任何惡意活動的跡象,也要確保Citrix ADC設備正在運行最新版本。
0x03 參考連結
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/amp/
https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-12-15 | 首次發佈 |