Citrix Gateway 是一組安全的遠程訪問解決方案,能提供應用級和數據級的控制功能,以實現用戶可以從任何地方遠程訪問應用和數據;Citrix ADC 是一個應用程序交付和負載平衡解決方案,專為實現應用程序的安全性、全面可見性和可用性而設,近期,Citrix ADC 和 Citrix Gateway 被揭露遠程代碼執行漏洞(CVE-2023-3519)。漏洞很可能存在於NetScaler封包解析引擎nsppe中,但該漏洞最初被認為是一個複雜的基於堆疊的錯誤,需要啟用SAML。遠程未經授權的攻擊者可以利用這一漏洞在目標設備上執行任意代碼,由於這個漏洞影響範圍廣大,建議客戶應儘快進行自我檢查和執行相關保護措施。
受影響的Citrix產品及版本
| 受影響之產品 | 受影響版本 | 安全版本 |
| NetScaler ADC 和 NetScaler Gateway 13.1 |
13.1-49.13之前 |
13.1-49.13 及更高版本
|
| NetScaler ADC 和 NetScaler Gateway 13.0 |
13.0-91.13之前 |
13.0-91.13 及更高版本
|
| NetScaler ADC 13.1-FIPS |
13.1-37.159之前 |
13.1-37.159 及更高版本
|
| NetScaler ADC 12.1-FIPS |
12.1-55.297之前 |
12.1-55.297 及更高版本
|
| NetScaler ADC 12.1-NDcPP |
12.1-55.297之前 |
12.1-55.297 及更高版本 |
關於台灣
Shodan
FOFA.
保守估計全台約有450個Citrix ADC 與 Citrix Gateway服務暴露於公網中,工研院資通所資料暨資訊安全組針對目前自有資料庫收錄共763個台灣範圍的Citrix ADC 與 Citrix Gateway服務進行概念性的驗證(PoC),將對目標網站進行內文被動分析,如Header, Title, Content等等,根據一系列的檢查評估漏洞是否存在。
驗證方式
該PoC參考github.com/securekomodo/citrixInspector進行改寫,會進行以下檢查
- 檢查位於 /vpn/pluginlist.xml 的 pluginslist.xml 檔案的最新版本
- 檢查是否存在包含文字frame-busting的 HTML 註釋,該註釋常存在於舊版Citrix中
- 檢查HTML內容中是否存在特定的vhashes
https://blog.fox-it.com/2022/12/28/cve-2022-27510-cve-2022-27518-measuring-citrix-adc-gateway-version-adoption-on-the-internet/
- 已經修補漏洞的版本會在回應(reponse)header中的Last-Modified顯示不同的timestamp,可從此判斷是否已經進行修補
Reference
https://github.com/telekom-security/cve-2023-3519-citrix-scanner/blob/main/CVE-2023-3519-checker.py
https://github.com/securekomodo/citrixInspector/blob/main/cve_2023_3519_inspector.py
歷史通報記錄
CVE-2023-3519
CVE-2023-27997
CVE-2023-28432
CVE-2022-41040
CVE-2022-26134
CVE-2021-36260
CVE-2022-26134
CVE-2021-26855
CVE-2021-41277