写点什么

Citrix 产品曝“惊天漏洞”,影响全球 8 万家公司,中国 1300+ 家公司受波及

  • 2019-12-24
  • 本文字数:1045 字

    阅读完需:约 3 分钟

Citrix产品曝“惊天漏洞”,影响全球8万家公司,中国1300+家公司受波及

遍布 158 个国家的超 8 万家公司正面临严重安全风险。不用一分钟,一个外部攻击者就能访问公司内网。这个安全风险来自Citrix(思杰)产品上的漏洞。



据外媒 Securityaffairs 报道,Positive Technologies 专家 Mikhail Klyuchnikov发现Citrix Application Delivery Controller(NetScaler ADC)和 Citrix Gateway (NetScaler Gateway)中存在一个严重安全漏洞,该漏洞被标记为CVE-2019-19781。攻击者利用这个安全漏洞可以直接访问公司内网。


NetScaler ADC 现在叫 Citrix ADC,它是一款应用交付和负载均衡解决方案。

Citrix Gateway 是一款客户托管解决方案,支持在内部和任何公共云中部署,如 AWS、Azure 或 Google Cloud Platform。


预计遍及全球 158 个国家的 80000 家公司可能面临潜在风险,其中有 38%位于美国,其次是英国、德国、荷兰和澳大利亚。


值得注意的是,中国有超过 1300 家公司受到影响。


Positive Technologies 公司在公告中写道,“如果这个漏洞被利用,攻击者可以直接从互联网上直接访问公司本地网络(内网)。这种攻击无需访问任何账户,因此它可以被任何外部攻击者利用。”


”Positive Technologies 的专家确定,全球 158 个国家中至少 80000 家公司面临潜在风险。“公告提到。


据悉,该漏洞影响产品的所有受支持版本和所有受支持的平台,包括以下产品:


  • Citrix ADC 和 Citrix Gateway 13.0;

  • Citrix ADC 和 NetScaler Gateway 12.1;

  • Citrix ADC 和 NetScaler Gateway 12.0;

  • Citrix ADC 和 NetScaler Gateway 11.1;

  • Citrix NetScaler ADC 和 NetScaler Gateway 10.5


专家指出,该漏洞无需访问任何账户,因此任何外部攻击者都可能利用它,从 Citrix 服务器对已发布的应用程序和其他内部网络进行未授权访问


这取决于服务器的配置,Citrix 应用程序可用于连接到工作站和关键业务系统。考虑到 Citrix 应用程序可在公司网络范围内访问,该漏洞使攻击者从 Citrix 服务器攻击内部网络中的其他资源。



“Citrix 应用程序已广泛用于企业网络中,”Positive Technologies 安全审计部门主管 Dmitry Serebryannikov 解释说,“这包括他们为企业员工提供的从任何设备对公司内部应用程序的终端访问服务。考虑到所发现的漏洞带来的高风险和 Citrix 软件在商业社区中的普及程度,我们建议信息安全专业人员立即采取措施,减轻威胁。”


目前,Citrix 已经发布解决此漏洞的措施,建议相关企业组织更新所有易受攻击的软件版本。


此外,Positive Technologies 还指出,该漏洞是 2014 年在 Citrix 软件中“引入的”,因此,重要的是还要检测该漏洞的以前利用情况。


2019-12-24 11:528830
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 369.2 次阅读, 收获喜欢 1803 次。

关注

评论

发布
暂无评论
发现更多内容

史上最强的:京东北极星商业系统权限管控实践

Java架构师迁哥

MySQL 索引概要

大海

MySQL 索引

程序员3年CRUD从8K涨到20K,这4个月我到底经历了什么?

码农之家

编程 程序员 互联网 面试 职场

CopyOnWriteArrayList源码解读之CopyOnWrite思想的利与弊

徐同学呀

Java源码 JUC CopyOnWriteArrayList

ThreadPoolExecutor源码解读(三)如何优雅的关闭线程池(shutdown、shutdownNow、awaitTermination)

徐同学呀

线程池 Java源码 JUC ThreadPoolExecutor

ScheduledThreadPoolExecutor源码解读(二)ScheduledFutureTask时间调度执行任务(延迟执行、周期性执行)

徐同学呀

线程池 Java源码 ScheduledThreadPool JUC

HarmonyOS开发者日再现上海,生态最新进展、核心代码解析、创新案例分享

Geek_283163

阿里P8整理出SQL笔记:收获不止SOL优化抓住SQL的本质

Java架构之路

Java 程序员 架构 面试 编程语言

关于ReentrantReadWriteLock,首个获取读锁的线程单独记录问题讨论(firstReader和firstReaderHoldCount)

徐同学呀

AQS Java源码 JUC

FutureTask源码解读,阻塞获取异步计算结果(阻塞、取消、装饰器、适配器、Callable)

徐同学呀

Java源码 JUC Future

聪明人的训练(十七)

Changing Lin

4月日更

ScheduledThreadPoolExecutor源码解读(一)DelayedWorkQueue高度定制延迟阻塞优先工作队列

徐同学呀

线程池 Java源码 ScheduledThreadPool JUC

阿里架构师如是说:权限系统就该这么设计

Java架构师迁哥

堪称神作!阿里数位专家联合写的“大厂高频Java面试手册”

码农之家

Java 编程 程序员 互联网 面试

阿里高工熬夜18天码出Java150K字面试宝典,却遭Github全面封杀

Java架构之路

Java 程序员 架构 面试 编程语言

为极客时间增加自动提醒功能,督促用户回来上课

克比

ThreadPoolExecutor源码解读(四)如何正确使用线程池(总结坑点+核心参数调优)

徐同学呀

ThreadPoolExecutor

还有人搞不懂数据仓库与数据库的区别?

大数据技术指南

数据仓库 4月日更

架构师实战营 模块二总结

代廉洁

架构实战营

ThreadPoolExecutor源码解读(一)重新认识ThreadPoolExecutor(核心参数、生命周期、位运算、ThreadFactory、拒接策略)

徐同学呀

线程池 Java源码 JUC ThreadPoolExecutor

架构师实战营 模块二作业(微信朋友圈高性能复杂度架构分析)

代廉洁

架构实战营

计算机原理学习笔记 Day8

穿过生命散发芬芳

计算机原理 4月日更

阿里高工熬夜14天码出这份Java10w字的面试手册!却遭GitHub封杀

Java架构之路

Java 程序员 架构 面试 编程语言

华为帐号服务学习笔记(四):Authorization Code模式服务端开发

Coding狙击

Java android

Github霸榜数月!原来是阿里大牛最新的Java性能优化实战笔记

钟奕礼

Java 编程 程序员 架构 面试

阿里P8重磅总结:看完别说不会了哦,SpringBoot「完结篇」

比伯

Java 编程 程序人生 计算机 架构】

探索区块链Baas平台的奥秘,源中瑞公共服务平台开发技术

源中瑞-龙先生

区块链 源中瑞 Baas

Anolis OS 8.2 RC2 发行,支持飞腾、海光、兆芯、鲲鹏等芯片

阿里云基础软件团队

Impala架构详解

五分钟学大数据

4月日更 impala

openLooKeng如何应对“野蛮零散”的大数据

LooK

大数据 开源 openLooKeng

ThreadPoolExecutor源码解读(二)execute提交任务,Worker详解。如何执行任务?如何回收空闲线程?

徐同学呀

线程池 Java源码 JUC ThreadPoolExecutor

Citrix产品曝“惊天漏洞”,影响全球8万家公司,中国1300+家公司受波及_安全_万佳_InfoQ精选文章