【ArchSummit架构师峰会】精华内容上线75%,AI大模型中台从理念到实践的探索!>>> 了解详情
写点什么

Citrix 产品曝“惊天漏洞”,影响全球 8 万家公司,中国 1300+ 家公司受波及

  • 2019-12-24
  • 本文字数:1045 字

    阅读完需:约 3 分钟

Citrix产品曝“惊天漏洞”,影响全球8万家公司,中国1300+家公司受波及

遍布 158 个国家的超 8 万家公司正面临严重安全风险。不用一分钟,一个外部攻击者就能访问公司内网。这个安全风险来自Citrix(思杰)产品上的漏洞。



据外媒 Securityaffairs 报道,Positive Technologies 专家 Mikhail Klyuchnikov发现Citrix Application Delivery Controller(NetScaler ADC)和 Citrix Gateway (NetScaler Gateway)中存在一个严重安全漏洞,该漏洞被标记为CVE-2019-19781。攻击者利用这个安全漏洞可以直接访问公司内网。


NetScaler ADC 现在叫 Citrix ADC,它是一款应用交付和负载均衡解决方案。

Citrix Gateway 是一款客户托管解决方案,支持在内部和任何公共云中部署,如 AWS、Azure 或 Google Cloud Platform。


预计遍及全球 158 个国家的 80000 家公司可能面临潜在风险,其中有 38%位于美国,其次是英国、德国、荷兰和澳大利亚。


值得注意的是,中国有超过 1300 家公司受到影响。


Positive Technologies 公司在公告中写道,“如果这个漏洞被利用,攻击者可以直接从互联网上直接访问公司本地网络(内网)。这种攻击无需访问任何账户,因此它可以被任何外部攻击者利用。”


”Positive Technologies 的专家确定,全球 158 个国家中至少 80000 家公司面临潜在风险。“公告提到。


据悉,该漏洞影响产品的所有受支持版本和所有受支持的平台,包括以下产品:


  • Citrix ADC 和 Citrix Gateway 13.0;

  • Citrix ADC 和 NetScaler Gateway 12.1;

  • Citrix ADC 和 NetScaler Gateway 12.0;

  • Citrix ADC 和 NetScaler Gateway 11.1;

  • Citrix NetScaler ADC 和 NetScaler Gateway 10.5


专家指出,该漏洞无需访问任何账户,因此任何外部攻击者都可能利用它,从 Citrix 服务器对已发布的应用程序和其他内部网络进行未授权访问


这取决于服务器的配置,Citrix 应用程序可用于连接到工作站和关键业务系统。考虑到 Citrix 应用程序可在公司网络范围内访问,该漏洞使攻击者从 Citrix 服务器攻击内部网络中的其他资源。



“Citrix 应用程序已广泛用于企业网络中,”Positive Technologies 安全审计部门主管 Dmitry Serebryannikov 解释说,“这包括他们为企业员工提供的从任何设备对公司内部应用程序的终端访问服务。考虑到所发现的漏洞带来的高风险和 Citrix 软件在商业社区中的普及程度,我们建议信息安全专业人员立即采取措施,减轻威胁。”


目前,Citrix 已经发布解决此漏洞的措施,建议相关企业组织更新所有易受攻击的软件版本。


此外,Positive Technologies 还指出,该漏洞是 2014 年在 Citrix 软件中“引入的”,因此,重要的是还要检测该漏洞的以前利用情况。


2019-12-24 11:528601
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 332.5 次阅读, 收获喜欢 1793 次。

关注

评论

发布
暂无评论
发现更多内容

大背景 (28天写作 Day25/28)

mtfelix

28天写作 新能源汽车 新能源革命 碳中和

产品经理训练营作业 02

KingSwim

机器学习·笔记之:Matrices and Vectors

Nydia

第十周 学习总结

简简单单

安卓开发软件有哪些?分析Android未来几年的发展前景,吐血整理

欢喜学安卓

android 程序员 面试 移动开发

史上最清晰的Tarjan算法详解

华为云开发者联盟

算法 静态分析 语法树 Tarjan 数据流

产品经理训练营第0期-第三次作业

孙行者

第0期 产品经理训练营 问题

产品训练营第二章作业(二)

Arnold

不要在nodejs中阻塞event loop

程序那些事

node.js Event 事件循环 程序那些事 nodejs event

OpenAI将k8s扩展至7500个节点以支持机器学习;Graph Diffusion Network提升交通流量预测精度

京东科技开发者

区块链 开源

【并发编程的艺术】详解单例模式的实现方式(Java)

程序员架构进阶

设计模式 Java内存模型 七日更 28天写作 2月春节不断更

高性能缓存 Caffeine 原理及实战

vivo互联网技术

Java Caffeine 本地缓存

时间约束帮助我写作

Justin

方法论 创意 习惯养成 28天写作

第三章: 产品解决方案作业

让时间说真话

产品经理 产品经理训练营

第五周作业

oooh-la

云原生动态周报 | Google推出VM Manager

华为云原生团队

Docker 开源 云原生 华为云

开发质量提升系列:标准模板(中)

罗小龙

最佳实践 方法论 28天写作

传统线程同步通信技术

武哥聊编程

Java 多线程 28天写作

就算知道了答案,真的会改变吗?「幻想短篇 25/28」

道伟

28天写作

话题讨论|过年回家你带电脑吗?

熊斌

话题讨论 28天写作

安卓开发交流!一线互联网移动架构师筑基必备技能之Java篇,Android岗

欢喜学安卓

android 程序员 面试 移动开发

ModelArts AI Gallery与HiLens Kit联合开发丨行人社交距离风险提示Demo

华为云开发者联盟

华为云 modelarts hilens 行人 社交距离

持续交付

lidaobing

持续交付 28天写作

Python 中 sorted 如何自定义比较逻辑

zikcheng

Python sorted cmp

第三章:产品解决方案作业

让时间说真话

产品经理

python爬虫入门-通过茅台脚本讲些爬虫知识,应用和价值

大佬sam

Python python 爬虫 2月春节不断更

持续进步的不二法宝-PDCA

Ian哥

28天写作

第十周 模块分解作业

简简单单

【WOW.js】Animate.css的黄金搭档

德育处主任

CSS 动画 js 28天写作 2月春节不断更

创业失败启示录|样茶里的商机

阿萌

28天写作 创业失败启示录 青城 2月春节不断更

第三章:产品解决方案作业

让时间说真话

产品经理

Citrix产品曝“惊天漏洞”,影响全球8万家公司,中国1300+家公司受波及_安全_万佳_InfoQ精选文章