Risques

Des exploitations de cette vulnérabilité par des criminels sur des appareils non patchés ont été observées dans le cyber espace. Citrix recommande vivement aux clients concernés de passer immédiatement à une version fixe OU d'appliquer les mesures d'atténuation prévues qui s'appliquent également aux déploiements Citrix ADC, Citrix Gateway et Citrix SD-WAN WANOP. Les clients qui ont choisi d'appliquer la mesure d'atténuation doivent mettre à niveau tous leurs appareils vulnérables vers une version corrigée dès que possible.

Actions recommandées

Citrix a publié des mises à jour dans le bulletin de sécurité CTX267027. La mise à jour corrige la vulnérabilité de traversée de répertoire, responsable de l'injection de fonction. Si les mises à jour ne sont pas disponibles pour votre plateforme ou si vous ne pouvez pas appliquer les mises à jour, veuillez considérer les solutions de contournement mentionnées. CERT.be recommande d'appliquer le patch dès que possible. Les patchs peuvent être téléchargés à partir du support Citrix.

Références

1. https://support.citrix.com/article/CTX267027
2. https://support.citrix.com/article/CTX267679
3. https://www.ptsecurity.com/ww-en/about/news/citrix-vulnerability-allows-criminals-to-hack-networks-of-80000-companies/
4. https://isc.sans.edu/forums/diary/A+Quick+Update+on+Scanning+for+CVE201919781+Citrix+ADC+Gateway+Vulnerability/25686/
5. https://www.tripwire.com/state-of-security/vert/citrix-netscaler-cve-2019-19781-what-you-need-to-know/
6. https://github.com/Neo23x0/sigma/blob/master/rules/web/web_citrix_cve_2019_19781_exploit.yml
7. https://github.com/x1sec/x1sec.github.io/blob/master/CVE-2019-19781-DFIR.md
8. https://www.us-cert.gov/ncas/alerts/aa20-020a
9. https://www.us-cert.gov/ncas/alerts/aa20-031a
10. https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/