描述:
Citrix Application Delivery Controller、Citrix Gateway 及 Citrix SD-WAN WANOP 被发现多个漏洞。未获授权至管理网络的攻击者可以发起源自网络的服务阻断攻击。要成功利用权限提升漏洞,攻击者必须具有管理界面上执行任意指令码的权限。远端攻击者可诱使获授权的用户开启特制的URL,从而攻击程式码插入的漏洞。
受影响的系统:
- Citrix ADC 及 Citrix Gateway 13.0-64.35 之前的版本
- Citrix ADC 及 NetScaler Gateway 12.1-58.15 之前的版本
- Citrix ADC 及 NetScaler Gateway 11.1-65.12 之前的版本
- Citrix ADC 12.1-FIPS 12.1-55.187 之前的版本
- Citrix SD-WAN WANOP 11.2.1a 之前的版本
- Citrix SD-WAN WANOP 11.1.2a 之前的版本
- Citrix SD-WAN WANOP 11.0.3f 之前的版本
- Citrix SD-WAN WANOP 10.2.7b 之前的版本
影响:
成功利用这些漏洞可以在受影响系统导致程式码插入、服务受阻断及权限提升,视乎攻击者利用哪个漏洞而定。
建议:
Citrix 已发布了有关产品的新版本以应对以上问题,详情可参考以下网址:
https://support.citrix.com/article/CTX281474
受影响系统的管理员应遵从产品供应商的建议,立即采取行动以降低风险。
进一步信息:
https://support.citrix.com/article/CTX281474
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8245 (to CVE-2020-8247)