卖方承诺在1月底截止补丁
验证概念代码针对一个以前公开了Citrix脆弱性在周末出版的另一个迹象,即广泛的攻击可能会迫在眉睫。
瘦客户端的云计算供应商Citrix通过在月底前的有前途的补丁进行响应,在危险漏洞成为向量之前建立潜在的竞争赛潜在的竞争群体网络攻击针对世界各地的企业网络。
两个概念验证漏洞CVE-2019-19781(AKA'Shitrix')在周末释放,反对加强努力寻找弱势系统的努力。
决定在星期五获得零点爆炸项目零印度的零爆炸 - 一群印度安全研究人员,无法归于谷歌的项目零 -批评从他们的同龄人。
第二组研究人员,Trustedsec,周六随后释放自己利用工具,证明释放的证明陈述“利用代码[是]在野外”。
beplay体育能用吗网络安全专家分别报告了上周开始前一周开始的大规模扫描活动加强在周末(到目前为止)孤立的孤立试图在易受攻击的系统上安装后门代理。
Johannes Ullrich,Sans Internet Storm Center Handler,报告:“我们看到缺点使用漏洞的变化很大的开发......到目前为止,我们已经看到的大部分扫描只是通过试图运行”id“和'uname'等命令来测试漏洞。
“几个漏洞图试图下载额外的代码,”他补充道。
不安全的网关
CVE-2019-19781,影响Citrix应用程序交付控制器(ADC)和网关产品,在12月中旬浮出水面。
Citrix迄今为止已经提供有关如何减轻漏洞的建议而不是发出更全面的补丁。
在A.更新Citrix表示,在星期日(1月12日)发布,将在本月20日和本月底之间发布解决此漏洞的固件更新。可用日期取决于版本号。
成功的剥削为远程未经身份验证的攻击者打开门,以在易受攻击的网关上执行恶意代码。
脆弱性,由a出现路径遍历缺陷并且显然远离难以利用,还为攻击者提供了一条攻击者,以利用易受攻击的产品访问公司内部网络。
上周绊倒的克雷格年轻人估计的在Citrix的初始咨询之后,少于三分之一的Citrix NetScaler或ADC VPN门户网站已经缓解了缓解状态。
安全研究员Troy Mursch成立截至周一早上,大约25,000个Citrix服务器仍然脆弱。
受影响的组织包括各国政府,大学,医院和银行在全球120多个国家,Mursch警告A.博客文章。
一种讨论在NetSEC削弱的问题和一个问题Youtube演练了该漏洞共同为安全防御者提供额外的资源,希望加快对企业系统安全性的清晰和呈现危险的速度。
你可能还喜欢Codooforum软件修补了存储的XSS漏洞
