Citrix 漏洞风险及应对措施

关键要点

• Citrix 应用交付控制器和网关访问解决方案存在新漏洞，允许未授权攻击者执行任意代码。
• 与中国有关的高级持续威胁（APT）组织已利用该漏洞。
• 受影响的版本需尽快更新，才能避免进一步风险。

最近，Citrix应用交付控制器（ADC）和其网关远程访问解决方案被发现存在漏洞，该漏洞允许未授权的攻击者执行任意代码。根据美国国家安全官员的后续指导，已有一个与中国相关的高级持续威胁组织利用了这一漏洞。

根据 Citrix 的，客户的 ADC 或网关解决方案必须配置 SAML SP或 IdP 身份验证，才能被利用。漏洞影响以下版本：

版本 | 状态
—|—
Citrix ADC 及 Citrix Gateway 13.0 | 在 13.0-58.32 之前
Citrix ADC 及 Citrix Gateway 12.1 | 在 12.1-65.25 之前
Citrix ADC 12.1-FIPS | 在 12.1-55.291 之前
Citrix ADC 12.1-NDcPP | 在 12.1-55.291 之前
Citrix ADC 和 Citrix Gateway 13.1 | 不受影响
使用 Citrix 云托管服务或自适应认证的客户 | 不受影响

该漏洞是在一次内部审查中发现的，并已被不明威胁行为者利用。Citrix 强烈敦促受影响的用户立即更新到最新版本。

“在未采取缓解措施的设备上已经报告了该漏洞的利用事件。Citrix 强烈建议受影响的客户尽快安装相关的更新版本。”公告中写道。

虽然 Citrix的公告未提供详细的归属信息，美国国家安全局（NSA）和网络安全及基础设施安全局（CISA）同日发布了，其中详细说明了与中国政府有关的 APT5 黑客组织在积极针对 Citrix ADC 部署的情况。

NSA 网络安全主管 Rob Joyce 在 Twitter上，该黑客组织正在利用漏洞对
Citrix 客户实施攻击，呼吁受影响方报告任何事件。

“APT5 正在积极利用 Citrix 设备的漏洞进行攻击。我们链接的 NSA 威胁狩猎指南可以帮助识别和缓解这一活动。请更新至最新的 Citrix
版本，检查是否受到影响，并告知我们任何发现。”

所有受影响的客户都被建议更新至 12.1 或 13.0 版本，并设置审计日志以监控对其控制器或网关设备的攻击尝试。除了更新到不受影响版本或禁用 SAML身份验证外，没有其他解决方案。Citrix 部落格表示，公司无法提供取证分析以确定设备或系统是否被攻陷。

根据 NSA 的威胁狩猎指导，APT5 已被观察到利用 Citrix ADC漏洞绕过身份验证控制，获取受害系统的访问权限。该机构建议受影响方使用离线日志检查潜在的妥协迹象，包括使用“pb_policy”工具而不与经过身份验证的管理员关联、设备日志与远程日志之间的不匹配、用户权限的未经授权修改以及其他可疑活动。

NSA 建议公司将所有 Citrix ADC 实例放置在 VPN 后面或使用多因素身份验证以授予访问权限，并将 Citrix ADC设备与环境隔离。此外，还提供了通常由该组织部署的恶意软件的 YARA 检测签名。

根据 Mandiant 的分析，APT5 是一个大型威胁组织，由多个子组组成，自 2007 年以来一直专注于黑客攻击卫星通信、通信和军事应用技术公司。

去年，[美国官员指出](https://www.scworld.com/analysis/rsac/us-warns-chinese-hackers-
exploiting-known-vulnerabilities