www.belgium.be Logo of the federal government

Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP web server vulnerability actively exploited

Référence: 
Advisory #2020-010
Version: 
1
Logiciels concernés : 
Citrix Application Delivery Controller (ADC) and Gateway 10.5, 11.1, 12.0, 12.1, and 13.0.
Type: 
Directory Traversal & Function Injection
CVE/CVSS: 

CVE-2019-19781

CVSSv2 7.5

CVSSv3 9.8

Risques

Des exploitations de cette vulnérabilité par des criminels sur des appareils non patchés ont été observées dans le cyber espace. Citrix recommande vivement aux clients concernés de passer immédiatement à une version fixe OU d'appliquer les mesures d'atténuation prévues qui s'appliquent également aux déploiements Citrix ADC, Citrix Gateway et Citrix SD-WAN WANOP. Les clients qui ont choisi d'appliquer la mesure d'atténuation doivent mettre à niveau tous leurs appareils vulnérables vers une version corrigée dès que possible.

Description

Une vulnérabilité a été identifiée dans Citrix Application Delivery Controller (ADC), anciennement appelé NetScaler ADC, et Citrix Gateway, anciennement appelé NetScaler Gateway, qui, si elle est exploitée, pourrait permettre à un attaquant non authentifié d'effectuer des injections de fonctions et des traversées de répertoires. CERT.be a gardé un œil sur cette vulnérabilité depuis sa publication, et a récemment vu son exploitation dans le cyber espace.

Actions recommandées

Citrix a publié des mises à jour dans le bulletin de sécurité CTX267027. La mise à jour corrige la vulnérabilité de traversée de répertoire, responsable de l'injection de fonction. Si les mises à jour ne sont pas disponibles pour votre plateforme ou si vous ne pouvez pas appliquer les mises à jour, veuillez considérer les solutions de contournement mentionnées. CERT.be recommande d'appliquer le patch dès que possible. Les patchs peuvent être téléchargés à partir du support Citrix.

Références

  1. https://support.citrix.com/article/CTX267027
  2. https://support.citrix.com/article/CTX267679
  3. https://www.ptsecurity.com/ww-en/about/news/citrix-vulnerability-allows-criminals-to-hack-networks-of-80000-companies/
  4. https://isc.sans.edu/forums/diary/A+Quick+Update+on+Scanning+for+CVE201919781+Citrix+ADC+Gateway+Vulnerability/25686/
  5. https://www.tripwire.com/state-of-security/vert/citrix-netscaler-cve-2019-19781-what-you-need-to-know/
  6. https://github.com/Neo23x0/sigma/blob/master/rules/web/web_citrix_cve_2019_19781_exploit.yml
  7. https://www.fireeye.com/blog/products-and-services/2020/01/rough-patch-promise-it-will-be-200-ok.html
  8. https://github.com/x1sec/x1sec.github.io/blob/master/CVE-2019-19781-DFIR.md
  9. https://www.us-cert.gov/ncas/alerts/aa20-020a
  10. https://www.us-cert.gov/ncas/alerts/aa20-031a
  11. https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/