专门提供服务器应用、桌面虚拟化、网络及云计算服务的思杰系统(Citrix),在去年12月披露了一个位于该公司产品中的重大漏洞CVE-2019-19781,该漏洞允许黑客自远程执行任意程序,然而当时Citrix尚未修补该漏洞,反而是美国国土安全部的网络安全及基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA),先在本月中发布了该漏洞的检测工具,Citrix则是在本周发布了与安全企业FireEye合作打造的漏洞扫描仪。
CVE-2019-19781漏洞同时存在于Citrix应用程序交付控制器(Application Delivery Controller,ADC),以及可自远程访问混合云计算与SaaS服务的Citrix Gateway上,估计波及全球158个国家采用相关技术的超过8万家企业,且攻击程序在漏洞被披露的一个月内便已问世。
迄今已有多家安全企业发现黑客对CVE-2019-19781漏洞感兴趣,例如针对Citrix设备扫描的频率变高了,或是CVE-2019-19781攻击程序现身于GitHub,也已出现实际的攻击案例。
FireEye表示,该公司与Citrix共同开发的工具可用来搜索入侵指标(Indicators of Compromise,IOC),Citrix用户只要在相关的设备上执行该工具,就能根据已知的攻击程序与攻击活动来评估系统的潜在入侵指标。
除了部署缓解措施及修补程序之外,FireEye与Citrix强烈建议Citrix用户尽快执行该工具以增加对潜在入侵的意识,同时采取适合的保护措施。
该IOC扫描仪可直接安装在Citrix ADC、Gateway或SD-WAN WANOP系统上,它能基于已知的指标来扫描文件、程序与传输端口。用户可通过Citrix或FireEye的GitHub存储库下载。
Citrix已在1月19日修补了11.1与12.0的Citrix ADC及Citrix Gateway,预计在1月22日修补10.2.6b与11.0.3b版的Citrix SD-WAN WANOP,并会在1月24日修补10.5、12.1与13.0的Citrix ADC及Citrix Gateway。