保安警報 (A20-09-05): Citrix 產品多個漏洞

描述:

Citrix Application Delivery Controller、Citrix Gateway 及 Citrix SD-WAN WANOP 被發現多個漏洞。未獲授權至管理網絡的攻擊者可以發起源自網絡的服務阻斷攻擊。要成功利用權限提升漏洞，攻擊者必須具有管理界面上執行任意指令碼的權限。遠端攻擊者可誘使獲授權的用戶開啓特製的URL，從而攻擊程式碼插入的漏洞。

受影響的系統:

• Citrix ADC 及 Citrix Gateway 13.0-64.35 之前的版本
• Citrix ADC 及 NetScaler Gateway 12.1-58.15 之前的版本
• Citrix ADC 及 NetScaler Gateway 11.1-65.12 之前的版本
• Citrix ADC 12.1-FIPS 12.1-55.187 之前的版本
• Citrix SD-WAN WANOP 11.2.1a 之前的版本
• Citrix SD-WAN WANOP 11.1.2a 之前的版本
• Citrix SD-WAN WANOP 11.0.3f 之前的版本
• Citrix SD-WAN WANOP 10.2.7b 之前的版本

影響:

成功利用這些漏洞可以在受影響系統導致程式碼插入、服務受阻斷及權限提升，視乎攻擊者利用哪個漏洞而定。

建議:

Citrix 已發布了有關產品的新版本以應對以上問題，詳情可參考以下網址：

https://support.citrix.com/article/CTX281474

受影響系統的管理員應遵從產品供應商的建議，立即採取行動以降低風險。

進一步資訊:

https://support.citrix.com/article/CTX281474
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8245 (to CVE-2020-8247)