仍有数千台 Citrix 服务器面临严重安全风险

最近，网络安全研究人员发现，尽管相关厂商已经发布了修复补丁，但互联网上仍有大量 Citrix 应用交付控制器和网关设备，未能及时更新，暴露在两个严重的已知漏洞之下。这两个漏洞可能让攻击者绕过身份验证，甚至直接远程控制设备。这提醒我们，在网络安全领域，及时修补已知漏洞与发现新漏洞同样重要。

两个关键的漏洞

根据提供的素材，目前主要涉及两个由 Citrix 公司修复的严重漏洞。第一个漏洞编号为 CVE-2022-27510，它在去年11月初被修复。简单来说，这是一个身份验证绕过漏洞。攻击者可以利用它，无需合法凭证就能访问设备，甚至接管远程桌面。

第二个漏洞编号为 CVE-2022-27518，在12月中旬被披露和修补。这个漏洞的危害性更大，它允许未经身份验证的攻击者直接在受影响的设备上执行远程命令，从而完全控制设备。值得注意的是，在 Citrix 发布官方补丁时，这个漏洞已经被攻击者利用。

漏洞影响的规模

那么，到底有多少设备还处于风险之中呢？根据 Fox IT 团队在去年12月底的扫描和分析，情况依然不容乐观。虽然大部分面向公众的 Citrix 服务器已经更新到了安全版本，但仍有数千台设备运行着存在漏洞的旧版本。

具体来看，有超过一千台服务器容易受到第一个身份验证绕过漏洞的影响。同时，还有大约三千五百台服务器运行在可能受第二个远程命令执行漏洞影响的版本上，其中部分服务器如果配置了特定功能，风险会更高。此外，还有超过三千台服务器可能同时面临这两个漏洞的威胁。

研究人员如何进行分析

你可能会好奇，研究人员是如何在不直接登录这些服务器的情况下，判断它们是否易受攻击的呢？这里有一个技术上的巧思。通常，服务器的版本号不会直接显示在对外响应中，但响应中会包含一个类似 MD5 哈希值的参数。

研究人员的做法是，他们自己部署了几乎所有能从官方渠道获取的 Citrix ADC 版本，然后建立起这个“哈希值”与具体“软件版本”之间的对应关系。通过扫描互联网上设备的响应哈希，他们就能反推出这些设备运行的版本，从而评估其风险。对于少数无法直接匹配的哈希，他们还会通过分析构建日期来推断版本，进一步提高了评估的准确性。

修补进度的差异

从全球范围来看，不同国家和地区对这次安全威胁的响应速度存在差异。根据 Fox IT 分享的数据，美国、德国、加拿大等国家的管理员反应较为迅速，在相关安全公告发布后，能较快地为设备打上补丁。这反映出不同区域的网络安全意识和运维实践水平可能有所不同。

总结

我的理解是，这份报告的核心并非披露新的漏洞，而是揭示了在旧漏洞已被修复后，现实世界中依然存在的“修补延迟”问题。攻击者往往不会等待，他们会积极搜寻并利用那些未及时更新的设备。因此，对于使用 Citrix 或其他任何企业级产品的管理员而言，建立并严格执行一套及时、有效的漏洞修补流程，是防御体系中至关重要的一环。正如报告所强调的，“仍有许多工作要做才能弥补所有安全漏洞”。