【安全通报】Citrix XenMobile 目录遍历漏洞（CVE-2020-8209）

XenMobile是Citrix开发的企业移动性管理软件。该产品允许企业管理员工的移动设备和移动应用程序。该软件的目的是通过允许员工安全地在企业拥有的和个人移动设备及应用程序上工作来提高生产率。

近日Citrix官方发布安全更新，修复了包括 CVE-2020-8209 远程命令执行漏洞在内的多个漏洞。XenMobile（Citrix Endpoint Management）存在目录遍历漏洞，攻击者未授权访问到账号密码，危害巨大。建议相关用户尽快升级到最新版本，及时做好资产自查和预防工作。

影响范围

• RP2之前的XenMobile服务器10.12
• RP4之前的XenMobile服务器10.11
• RP6之前的XenMobile服务器10.10
• 10.9 RP5之前的XenMobile服务器

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="XenMobile-控制台"）共有 4,181 个相关服务对外开放。美国使用数量最多，共有 1,043 个；德国第二，共有 823 个；荷兰第三，共有 261 个；英国第四，共有 192 个；瑞士第五，共有 150 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区上海使用数量最多，共有 10 个；广东第二，共有 7 个；天津第三，共有 7 个，福建第四，共有 3 个；山东第五，共有 3 个。

漏洞POC

目前 FOFA 客户端平台已经更新检测POC。

修复方案

1. 升级至安全版本及其以上，升级前建议做好快照备份措施。安全版本下载地址参考：

   XenMobile服务器10.12 RP3：https://support.citrix.com/article/CTX277473

   XenMobile服务器10.11 RP6：https : //support.citrix.com/article/CTX277698

   XenMobile服务器10.10 RP6：https : //support.citrix.com/article/CTX279101

   XenMobile服务器10.9 RP5：https : //support.citrix.com/article/CTX279098

参考

[1] https://support.citrix.com/article/CTX277457

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8209

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。