www.belgium.be Logo of the federal government

Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP web server vulnerability actively exploited

Referentie: 
Advisory #2020-010
Versie: 
1
Geïmpacteerde software: 
Citrix Application Delivery Controller (ADC) and Gateway 10.5, 11.1, 12.0, 12.1, and 13.0.
Type: 
Directory Traversal & Function Injection
CVE/CVSS: 

CVE-2019-19781

CVSSv2 7.5

CVSSv3 9.8

Risico’s

CERT.be heeft exploitatie van kwetsbare systemen door cybercriminelen waargenomen. Citrix dringt er bij de betrokken klanten sterk op aan om onmiddellijk te upgraden naar een gepatchte build OF de meegeleverde mitigatie toe te passen, die ook geldt voor Citrix ADC, Citrix Gateway en Citrix SD-WAN WANOP-implementaties. We raden klanten die ervoor hebben gekozen om de mitigatie toe te passen aan om al hun kwetsbare apparaten zo snel mogelijk te upgraden.

 

Beschrijving

In Citrix Application Delivery Controller (ADC) - voorheen bekend als NetScaler ADC - en Citrix Gateway - voorheen bekend als NetScaler Gateway -, is een kwetsbaarheid geïdentificeerd die, indien deze wordt uitgebuit, een aanvaller zonder authenticatie in staat zou kunnen stellen om functie-injecties en directory traversals uit te voeren. CERT.be hield deze kwetsbaarheid reeds in het oog sinds de release, en zag recentelijk de exploitatie van producten die al zijn vrijgegeven aan het publiek.

Aanbevolen acties

Citrix heeft updates uitgebracht in Security Bulletin CTX267027. De update verhelpt de directory traversal kwetsbaarheid, die verantwoordelijk is voor de functie-injectie. Als updates niet beschikbaar zijn voor uw platform, of als u om een andere reden niet in staat bent om updates toe te passen, overweeg dan de genoemde work-arounds. CERT.be raadt aan om de patch zo snel mogelijk toe te passen. De patches kunnen gedownload worden via de Citrix-ondersteuning.

Referenties

  1. https://support.citrix.com/article/CTX267027
  2. https://support.citrix.com/article/CTX267679
  3. https://www.ptsecurity.com/ww-en/about/news/citrix-vulnerability-allows-criminals-to-hack-networks-of-80000-companies/
  4. https://isc.sans.edu/forums/diary/A+Quick+Update+on+Scanning+for+CVE201919781+Citrix+ADC+Gateway+Vulnerability/25686/
  5. https://www.tripwire.com/state-of-security/vert/citrix-netscaler-cve-2019-19781-what-you-need-to-know/
  6. https://github.com/Neo23x0/sigma/blob/master/rules/web/web_citrix_cve_2019_19781_exploit.yml
  7. https://www.fireeye.com/blog/products-and-services/2020/01/rough-patch-promise-it-will-be-200-ok.html
  8. https://github.com/x1sec/x1sec.github.io/blob/master/CVE-2019-19781-DFIR.md
  9. https://www.us-cert.gov/ncas/alerts/aa20-020a
  10. https://www.us-cert.gov/ncas/alerts/aa20-031a
  11. https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/