保安警报 (A20-09-05): Citrix 产品多个漏洞

描述:

Citrix Application Delivery Controller、Citrix Gateway 及 Citrix SD-WAN WANOP 被发现多个漏洞。未获授权至管理网络的攻击者可以发起源自网络的服务阻断攻击。要成功利用权限提升漏洞，攻击者必须具有管理界面上执行任意指令码的权限。远端攻击者可诱使获授权的用户开启特制的URL，从而攻击程式码插入的漏洞。

受影响的系统:

• Citrix ADC 及 Citrix Gateway 13.0-64.35 之前的版本
• Citrix ADC 及 NetScaler Gateway 12.1-58.15 之前的版本
• Citrix ADC 及 NetScaler Gateway 11.1-65.12 之前的版本
• Citrix ADC 12.1-FIPS 12.1-55.187 之前的版本
• Citrix SD-WAN WANOP 11.2.1a 之前的版本
• Citrix SD-WAN WANOP 11.1.2a 之前的版本
• Citrix SD-WAN WANOP 11.0.3f 之前的版本
• Citrix SD-WAN WANOP 10.2.7b 之前的版本

影响:

成功利用这些漏洞可以在受影响系统导致程式码插入、服务受阻断及权限提升，视乎攻击者利用哪个漏洞而定。

建议:

Citrix 已发布了有关产品的新版本以应对以上问题，详情可参考以下网址：

https://support.citrix.com/article/CTX281474

受影响系统的管理员应遵从产品供应商的建议，立即采取行动以降低风险。

进一步信息:

https://support.citrix.com/article/CTX281474
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8245 (to CVE-2020-8247)