Citrix 警示：必须修补关键漏洞以防止攻击

文章重点

• 健康与人类服务部要求医疗机构及时修补 Citrix 产品中的关键漏洞。
• 此漏洞可让未经身份验证的远端攻击者执行命令，完全入侵目标系统，严重程度为 9.8。
• 目前此漏洞已被多个医疗机构利用，Citrix 已发布修补程式以解决该问题。

健康与人类服务部（HHS）正紧急呼吁医疗机构修补 Citrix 产品中的一个关键漏洞，因为此漏洞已成功被多家行业内的安全威胁行为者所利用。此漏洞位于
Citrix 应用交付控制器（ADC）和闸道平台，未经身份验证的攻击者可以利用此漏洞执行命令并完全控制目标系统，严重程度达到 9.8。（参考来源：）

根据国家安全局（NSA）的威胁狩猎指导，针对 Citrix ADC 的攻击可绕过正常的身份验证控制，进而实现非法进入目标组织。

漏洞概述

• 漏洞编号 ：CVE-2022-27518
• 影响版本 ：12.1 系列（包括 FIPS 和 NDcPP）、任意 13.0 版本（在 13.0-58.32 之前）
• 攻击者 ：APT5（或 UNC2630），一个国家赞助的先进持久威胁组织

此漏洞目前已被一个非常强大的国家赞助对手所利用，并且针对多个行业进行积极攻击。Citrix对于该漏洞的详细信息妥善控制，仅发布了必要的修补措施及相关问题的说明。

影响状态 | 描述
—|—
严重程度 | 9.8
利用攻击者 | 国家赞助的APT
受影响版本 | 12.1 和 13.0
修补版本 | 可从 Citrix 下载

Citrix 已发布针对该零日漏洞的修补程式以及一篇关于问题和需要的缓解措施的博客。这些永久修正可以在 上下载。

由于 APT5 的持续攻击，HCS 指出目前尚未确定具体的攻击组织，单一的受害者尚无法追踪。使用受到影响的版本的组织应立即优先安装建议的修补程式。

建议行动

• 安装修补程式 ：受影响的实体应立即安装最新版本的修补程式，并设置审核日志以监控 ADC 或闸道设备上的未经授权活动。
• 检查环境 ：对于正在运行影响版本的组织，建议审查其系统库，并制定计划优先实施这些修补。
• 检视指导文件 ：Citrix 建议组织查看 ，以了解检测及缓解这些攻击所用工具的见解。

如果发现系统受到入侵，实体应将所有 Citrix ADC实例转移至虚拟私人网络（VPN）中，或使用需要有效用户身份验证的其他工具以进行保护。此外，Citrix ADC应进行环境隔离，以控制任何恶意活动，并将受影响的平台恢复到已知的安全