QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

Citrix 产品曝“惊天漏洞”,影响全球 8 万家公司,中国 1300+ 家公司受波及

  • 2019-12-24
  • 本文字数:1045 字

    阅读完需:约 3 分钟

Citrix产品曝“惊天漏洞”,影响全球8万家公司,中国1300+家公司受波及

遍布 158 个国家的超 8 万家公司正面临严重安全风险。不用一分钟,一个外部攻击者就能访问公司内网。这个安全风险来自Citrix(思杰)产品上的漏洞。



据外媒 Securityaffairs 报道,Positive Technologies 专家 Mikhail Klyuchnikov发现Citrix Application Delivery Controller(NetScaler ADC)和 Citrix Gateway (NetScaler Gateway)中存在一个严重安全漏洞,该漏洞被标记为CVE-2019-19781。攻击者利用这个安全漏洞可以直接访问公司内网。


NetScaler ADC 现在叫 Citrix ADC,它是一款应用交付和负载均衡解决方案。

Citrix Gateway 是一款客户托管解决方案,支持在内部和任何公共云中部署,如 AWS、Azure 或 Google Cloud Platform。


预计遍及全球 158 个国家的 80000 家公司可能面临潜在风险,其中有 38%位于美国,其次是英国、德国、荷兰和澳大利亚。


值得注意的是,中国有超过 1300 家公司受到影响。


Positive Technologies 公司在公告中写道,“如果这个漏洞被利用,攻击者可以直接从互联网上直接访问公司本地网络(内网)。这种攻击无需访问任何账户,因此它可以被任何外部攻击者利用。”


”Positive Technologies 的专家确定,全球 158 个国家中至少 80000 家公司面临潜在风险。“公告提到。


据悉,该漏洞影响产品的所有受支持版本和所有受支持的平台,包括以下产品:


  • Citrix ADC 和 Citrix Gateway 13.0;

  • Citrix ADC 和 NetScaler Gateway 12.1;

  • Citrix ADC 和 NetScaler Gateway 12.0;

  • Citrix ADC 和 NetScaler Gateway 11.1;

  • Citrix NetScaler ADC 和 NetScaler Gateway 10.5


专家指出,该漏洞无需访问任何账户,因此任何外部攻击者都可能利用它,从 Citrix 服务器对已发布的应用程序和其他内部网络进行未授权访问


这取决于服务器的配置,Citrix 应用程序可用于连接到工作站和关键业务系统。考虑到 Citrix 应用程序可在公司网络范围内访问,该漏洞使攻击者从 Citrix 服务器攻击内部网络中的其他资源。



“Citrix 应用程序已广泛用于企业网络中,”Positive Technologies 安全审计部门主管 Dmitry Serebryannikov 解释说,“这包括他们为企业员工提供的从任何设备对公司内部应用程序的终端访问服务。考虑到所发现的漏洞带来的高风险和 Citrix 软件在商业社区中的普及程度,我们建议信息安全专业人员立即采取措施,减轻威胁。”


目前,Citrix 已经发布解决此漏洞的措施,建议相关企业组织更新所有易受攻击的软件版本。


此外,Positive Technologies 还指出,该漏洞是 2014 年在 Citrix 软件中“引入的”,因此,重要的是还要检测该漏洞的以前利用情况。


2019-12-24 11:528812
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 367.0 次阅读, 收获喜欢 1802 次。

关注

评论

发布
暂无评论
发现更多内容

[ Kitex 源码解读 ] 服务注册

baiyutang

Go 微服务架构 kitex CloudWeGo

APP常用跨端技术栈深入分析

京东科技开发者

flutter H5 Weex ReactNative

TiDB之rawkv升级之路v5.0.4-->v6.1.0

TiDB 社区干货传送门

迁移 版本升级 集群管理

研发需求拆分的全流程详解 | 敏捷实践

LigaAI

开发者 研发管理 需求管理 需求分析 LigaAI

数字电路基础篇

贾献华

7月月更

iOS中@class和#import

NewBoy

ios 前端 移动端 iOS 知识体系 7月月更

腾讯5G创新中心成立,布局无人港口、智慧矿山、电竞赛事等重点方向

科技热闻

国内首台商用人形双足机器人发展史

优必选科技

机器人

【字体反爬】目标站点5Lq65Lq66L2m(Base64加密),Python反爬系列再次更新

梦想橡皮擦

Python 爬虫 7月月更

Ticmp - 更快的让应用从 MySQL 迁移到 TiDB

TiDB 社区干货传送门

性能测评

TiDB 在多点数字化零售场景下的应用

TiDB 社区干货传送门

实践案例 社区活动 TUG 话题探讨

如何用低成本方案解决室内超大场景下机器人定位与导航难题?

优必选科技

机器人 定位 导航

极狐(GitLab)与原森科技达成战略合作,共筑FinDevOps业财融合解决方案

科技热闻

深圳云堡垒机厂商哪家好?很贵吗?咨询电话多少?

行云管家

云计算 网络安全 堡垒机 云堡垒机

参与开源社区还有证书拿?

胡说云原生

开源 证书

2022可信云权威评估公布:天翼云获十项认证、五项最佳实践

极客天地

黄东旭:TiDB的优势是什么?

TiDB 社区干货传送门

人物访谈

TiCDC 架构和数据同步链路解析

TiDB 社区干货传送门

数据库架构设计 6.x 实践

App自动化测试是怎么实现H5测试的

和牛

测试

LED显示屏和液晶透明拼接屏有什么区别?

Dylan

LED显示屏 led显示屏厂家

MRS +Apache Zeppelin,让数据分析更便捷

华为云开发者联盟

大数据 开源 后端

什么是真正的 HTAP ?(二)挑战篇

StoneDB

MySQL OLAP OLTP HTAP StoneDB

单点登录的三种方式

Authing

云原生 SaaS SSO 单点登录 Authing

一文理解分布式开发中的服务治理

博文视点Broadview

NFT是什么?如何开发NFT系统?

开源直播系统源码

数字藏品软件开发 数字藏品系统软件开发 数字藏品交易平台开发

万物根生,共创新时代:华为亮相第五届数字中国建设峰会

极客天地

涅槃重生!字节大牛力荐大型分布式手册,凤凰架构让你浴火成神

冉然学Java

Java 华为 开源 网络协议 #Github

资源池以及资源池化是什么意思?

行云管家

资源池 IT运维 资源池化

性能大规模专项评测双通过,数牍Tusita步入隐私大数据计算时代

Jessica@数牍

隐私计算性能 数牍科技 可信隐私计算评测

TiKV主要内存结构和OOM排查总结

TiDB 社区干货传送门

故障排查/诊断

TiDB 在长银五八消费金融核心系统适配经验分享

TiDB 社区干货传送门

安装 & 部署 OLAP 场景实践

Citrix产品曝“惊天漏洞”,影响全球8万家公司,中国1300+家公司受波及_安全_万佳_InfoQ精选文章