欢迎来到公海710 Citrix ADC CVE-2019-19781 漏洞

/*! elementor - v3.10.1 - 17-01-2023 */ .elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a颜色：继承；字体大小：继承；行高：继承.elementor-widget-heading .elementor-heading-title.elementor-size-smallfont-size:15px.elementor-widget-heading .elementor-heading-title.elementor-size-mediumfont-size:19px.elementor-widget-heading .elementor-heading-title.elementor-size-largefont-size:29px.elementor-widget-heading .elementor-heading-title.elementor-size-xlfont-size:39px.elementor-widget-heading .elementor-heading-title.elementor-size-xxl字体大小：59px

您需要了解的有关 Citrix ADC CVE-2019-19781 的信息：

12 月中旬 Citrix 发布了安全警告几乎所有 Citrix ADC/NetScaler 和 Citrix Gateway 平台中的漏洞。该漏洞攻击 Citrix Access Gateway 结构，无论其是否被利用。

攻击者可以将可执行代码插入 ADC、运行计划作业、复制配置文件，并在某些情况下使用设备访问网络的其他部分。 Citrix 已发布mitigation steps，但这只能防止未来的攻击。截至今天，他们还提供了更新时间表，从 2020 年 1 月 20 日开始。

Our Alchemists have done their due diligence and have a process to investigate appliances that were exposed to the vulnerability. They have worked with experts in network security as well as Citrix directly to develop a resolution for compromised appliances.

炼金术可以帮助您, but in case you want to follow our steps, here is what needs to be done post-mitigation to verify that your system is not compromised:

Redundant Mitigation– 再次运行 Citrix 缓解步骤，以验证您没有错过任何内容。检查 CISA 脚本以验证缓解步骤是否有效。

Check the Crontab– 攻击者正在操作系统中放置计划任务来启动应用程序，即使补丁已就位。

1. 检查正在运行的进程– 上传到受感染设备的代码可以在不影响设备的情况下运行。迄今为止发现的一些代码示例是加密矿工和后门脚本。
2. Check for Copied/Recent Files– 攻击者正在复制 ns.conf 文件，其中包含内部 IP、网络详细信息和可解密的哈希密码。文件也被复制到 VPN 文件夹结构中。如果某些文件的创建日期是最近的，则它们很可能是由攻击者丢弃的。建议重置 nsroot 的密码以及 ns.conf 文件中的任何哈希密码。
3. 更新防火墙签名– Checkpoint、Fortinet 和 Palo Alto 均已更新其 IPS 防火墙的签名，但大多数都设置为默认检测。更新您的 IPS 并修改阻止尝试的操作。

如果这看起来令人生畏，请不要担心：我们的 Citrix 网络专家随时为您提供帮助！

Please email us at[email protected]，或尽快联系您的销售代表。

Reference links:

Citrix Mitigation Steps –https://support.citrix.com/article/CTX267679

Citrix 更新计划 –https://www.citrix.com/blogs/2020/01/11/citrix-provides-update-on-citrix-adc-citrix-gateway-vulnerability/

FireEye 文章 –https://www.fireeye.com/blog/products-and-services/2020/01/rough-patch-promise-it-will-be-200-ok.html

Reddit Security Thread –https://www.reddit.com/r/blueteamsec/comments/en4m7j/multiple_exploits_for_cve201919781_citrix/