AICon日程100%就绪,9折倒计时最后一周 了解详情
写点什么

Citrix 产品曝“惊天漏洞”,影响全球 8 万家公司,中国 1300+ 家公司受波及

  • 2019-12-24
  • 本文字数:1045 字

    阅读完需:约 3 分钟

Citrix产品曝“惊天漏洞”,影响全球8万家公司,中国1300+家公司受波及

遍布 158 个国家的超 8 万家公司正面临严重安全风险。不用一分钟,一个外部攻击者就能访问公司内网。这个安全风险来自Citrix(思杰)产品上的漏洞。



据外媒 Securityaffairs 报道,Positive Technologies 专家 Mikhail Klyuchnikov发现Citrix Application Delivery Controller(NetScaler ADC)和 Citrix Gateway (NetScaler Gateway)中存在一个严重安全漏洞,该漏洞被标记为CVE-2019-19781。攻击者利用这个安全漏洞可以直接访问公司内网。


NetScaler ADC 现在叫 Citrix ADC,它是一款应用交付和负载均衡解决方案。

Citrix Gateway 是一款客户托管解决方案,支持在内部和任何公共云中部署,如 AWS、Azure 或 Google Cloud Platform。


预计遍及全球 158 个国家的 80000 家公司可能面临潜在风险,其中有 38%位于美国,其次是英国、德国、荷兰和澳大利亚。


值得注意的是,中国有超过 1300 家公司受到影响。


Positive Technologies 公司在公告中写道,“如果这个漏洞被利用,攻击者可以直接从互联网上直接访问公司本地网络(内网)。这种攻击无需访问任何账户,因此它可以被任何外部攻击者利用。”


”Positive Technologies 的专家确定,全球 158 个国家中至少 80000 家公司面临潜在风险。“公告提到。


据悉,该漏洞影响产品的所有受支持版本和所有受支持的平台,包括以下产品:


  • Citrix ADC 和 Citrix Gateway 13.0;

  • Citrix ADC 和 NetScaler Gateway 12.1;

  • Citrix ADC 和 NetScaler Gateway 12.0;

  • Citrix ADC 和 NetScaler Gateway 11.1;

  • Citrix NetScaler ADC 和 NetScaler Gateway 10.5


专家指出,该漏洞无需访问任何账户,因此任何外部攻击者都可能利用它,从 Citrix 服务器对已发布的应用程序和其他内部网络进行未授权访问


这取决于服务器的配置,Citrix 应用程序可用于连接到工作站和关键业务系统。考虑到 Citrix 应用程序可在公司网络范围内访问,该漏洞使攻击者从 Citrix 服务器攻击内部网络中的其他资源。



“Citrix 应用程序已广泛用于企业网络中,”Positive Technologies 安全审计部门主管 Dmitry Serebryannikov 解释说,“这包括他们为企业员工提供的从任何设备对公司内部应用程序的终端访问服务。考虑到所发现的漏洞带来的高风险和 Citrix 软件在商业社区中的普及程度,我们建议信息安全专业人员立即采取措施,减轻威胁。”


目前,Citrix 已经发布解决此漏洞的措施,建议相关企业组织更新所有易受攻击的软件版本。


此外,Positive Technologies 还指出,该漏洞是 2014 年在 Citrix 软件中“引入的”,因此,重要的是还要检测该漏洞的以前利用情况。


2019-12-24 11:528734
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 356.9 次阅读, 收获喜欢 1800 次。

关注

评论

发布
暂无评论
发现更多内容

艺术市场的区块链革命

CECBC

Alibaba最新微服务持续集成,内含(Jenkins+Docker+Spring Cloud+K8S)

Java 架构 面试 程序人生 编程语言

Node.js 日志之 winston 实践

devpoint

nodejs winston logger 10月月更

学生试卷&答题结构redis存储

Nico

前后端、多语言、跨云部署,全链路追踪到底有多难?

阿里巴巴云原生

阿里云 云原生 全链路追踪

拿蚂蚁offer,全靠阿里P8大牛总结的Java架构开发手册

Java 编程 程序员 架构 面试

Prometheus 基础查询(一)

耳东@Erdong

Prometheus 10月月更

趣说Node.js的回调函数

Regan Yue

node.js JavaScrip Regan Yue 10月月更

「架构师教程」二十年架构师「马士兵」大牛的Java高级架构师教程

Java 编程 程序员 IT 计算机

SSRF漏洞实例分析

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 漏洞分析

【Vuex 源码学习】第十二篇 - Vuex 插件机制的实现

Brave

源码 vuex 10月月更

从Engineer到Leader,我在思考啥?

夏兮。

互联网 管理 技术人 IT

双非学历为进大厂天天刷Java面试题,面试却履败,原因竟是算法?

Java 编程 程序员 架构 IT

隐蔽的角落-这次我们只聊Cilium IPAM

Lance

gRPC,爆赞

AlwaysBeta

golang 编程 gRPC 后端 Go 语言

并发相关的性质学习笔记

风翱

并发 10月月更

区块链技术赋能音乐作品版权保护 法院采信存证证书作为有效权属证据

CECBC

ToB产品如何自传播(下)

石云升

产品经理 产品思维 10月月更

面试作弊神器?!阿里P8亲自撰写的这份Java最新面试手册

Java 程序员 架构 面试 后端

Groovy 记录(2)-CompilationUnit

春秋易简

Facebook宕机事故,暴露了上云不是唯一的答案

脑极体

五分钟了解 Blazor

智联大前端

blazor

基于区块链的供应链金融创新

CECBC

面试官:你说说ThreadLocal为什么会导致内存泄漏?

长河

Java

业界良心啊!第五次更新的Spring Cloud Alibaba升级太多内容

Java 编程 程序员 IT 计算机

实践篇 -- Redis客户端缓存在SpringBoot应用的探究

binecy

缓存 springboot redis sentinel

存量时代会员深度运营逻辑

boshi

深度思考 运营

阿里架构师总结Go语言和java语言之间的对比联系

hanaper

应用出海,如何使用苹果 CallKit 提升网络通话体验

融云 RongCloud

音视频 出海社交

Groovy记录(1)-GroovyClassLoader

春秋易简

Groovy

Serverless 工程实践 | 零基础上手 Knative 应用

阿里巴巴云原生

阿里云 Serverless 云原生 Knative

Citrix产品曝“惊天漏洞”,影响全球8万家公司,中国1300+家公司受波及_安全_万佳_InfoQ精选文章