網絡安全分析師警告稱，數以千計的Citrix ADC 和網關部署仍然存在安全風險，即便該品牌服務器在此之前已經修復了兩個嚴重的安全漏洞。

第一個漏洞是CVE-2022-27510，已于 11 月 8 日修復。可影響兩種 Citrix 產品的身份驗證繞過。地二個漏洞是CVE-2022-27510，已于 12 月 13 日披露并修補，其允許未經身份驗證的攻擊者，在易受攻擊的設備上執行遠程命令并控制它們。

然而，就在Citrix公司發布安全更新對漏洞進行修復時，攻擊者已經在大規模利用CVE-2022-27518漏洞了。

NCC Group公司旗下的Fox IT團隊的研究人員報告說，雖然大多數面向公眾的 Citrix 端點已更新為安全版本，但仍有數千個端點容易受到攻擊。

查找易受攻擊的版本

Fox IT 分析師于 2022 年 11 月 11 日掃描了網絡，發現共有3萬臺 Citrix 服務器在線。為了確定有多少太服務器受到上述兩個漏洞的影響，安全研究人員首先要確定它們的版本號。雖說版本號未包含在服務器的HTTP 響應中，但是卻攜帶了類似 MD5 哈希的參數，可用于將它們與 Citrix ADC 和 Gateway 產品版本進行匹配。

index.htm 中的哈希值

因此，該團隊在VM上下載并部署了他們可以從 Citrix、Google Cloud Marketplace、AWS 和 Azure 獲取的所有 Citrix ADC 版本，并將哈希值與版本相匹配。

將哈希鏈接到版本 (Fox It)

對于無法與來源版本匹配的哈希值，研究人員求助于確定構建日期并據此推斷出它們的版本號。

將構建日期與哈希相關聯 (Fox It)

這進一步減少了未知版本（孤立哈希）的數量，但總的來說，大多數哈希都與特定的產品版本相關聯。

數以千計易受攻擊的 Citrix 服務器

最終結果如下圖所示，表明截至2022年12月28日，大部分服務器在13.0-88.14版本上，不受這兩個安全問題的影響。

Citrix 服務器版本 (Fox It)

使用數量排名第二的版本是12.1-65.21，如果滿足某些條件，則容易受到 CVE-2022-27518 的攻擊，該版本至少有3500個端點在運行。攻擊者對此進行利用的前提是，這些服務器必須要使用SAML SP 或 IdP 配置，因此，并非3500個系統都會受到CVE-2022-27518的影響。

有超過 1000 臺服務器容易受到 CVE-2022-27510 的影響，大約 3000 個端點可能容易受上述兩個嚴重安全漏洞的影響。

最后，Fox IT 團隊希望其博客能夠幫助提高 Citrix 管理員的意識，他們尚未針對最近的嚴重缺陷應用進行安全更新，這將會讓很多用戶處于風險之中。而統計數據也表明，要對所有設備的安全漏洞進行修復，供應商和企業仍有許多工作要做。

參考來源：https://www.bleepingcomputer.com/news/security/thousands-of-citrix-servers-vulnerable-to-patched-critical-flaws/