[Oprindeligt publiceret af Center for Cybersikkerhed]
CFCS udsendte i sidste uge et varsel til udvalgte interessenter angående CVE-2019-19781, der omhandler sårbarheder i Citrix Application Delivery Controller (ADC) og Citrix/NetScaler Gateway. Dette er en opfølgning til det varsel. Denne opfølgning er udsendt til bredere interessenter, og det er dermed ikke alle der har modtaget det første varsel.
Center for Cybersikkerhed (CFCS) har nu observeret scanning efter sårbart udstyr, samt aktive forsøg på at kompromittere sårbart udstyr, rettet mod organisationer i Danmark.
CFCS kan ikke oplyse jer om hvorvidt I har sårbare Citrix ADC & Citrix/ NetScaler Gateway enheder i jeres netværk. Vi udsender denne opfølgning for at oplyse om at denne sårbarhed nu aktivt søges udnyttet, samt for at viderebringe de nyeste informationer om de aktive forsøg på udnyttelse der ses nu.
Yderligere information
Der eksisterer en væsentlig sårbarhed i Citrix Application Delivery Controller (ADC) og Citrix/NetScaler Gateway, som beskrevet i CVE-2019-19781. Disse er appliances, der ofte anvendes som load balancers og gateways foran web serverer og hjemmearbejdspladser mv.
Ifølge CVE-2019-19781, ligger sårbarheden i en opsættelse af accesscontrol, samt en mulighed for at lave ’Path Traversal’, på disse enheder. Dette betyder, at en ikke autentificeret bruger, kan sende en HTTP request, til en sårbar enhed, på specifikke URI’er, og dermed eksekvere kode.
Generelt ses der forsøg på HTTP forespørgsler til URI’erne, som indikerer udnyttelsen af sårbarheden, til flere forskellige porte. Derudover, ses der også HTTPS-forespørgsler, det er meget sandsynligt, at der er forsøg på, at tilgå disse URI’er.
Center for Cybersikkerhed har ikke grundlag for at vurdere om der har været en kompromittering, da trafikken i flere tilfælde, er krypteret.
Netværkstrafikken, som anses for at være en udnyttelse af sårbarheden er HTTP & HTTPS-forespørgsler, der indeholder følgende URI’er:
/vpn/../vpns/cfg/smb.conf
/vpn/../vpns/portal/[…]
/vpns/
For mere info se:
https://www.tenable.com/blog/cve-2019-19781-exploit-scripts-for-remote-code-execution-vulnerability-in-citrix-adc-and
Der kan i den nærmeste fremtid, forekomme flere forsøg på at udnytte denne sårbarhed, hvorfor det anbefales at, være opmærksomhed på HTTP(S) forespørgsler til URI’er som indeholder
"/vpns/"
.
Ifølge Citrix, er der en patch undervejs, men denne er ikke udgivet endnu. Den bliver ifølge Citrix, udgivet i slutningen af januar.
Derudover kunne der indføres en generel blokering af URI’er, der indeholder:
"/../"
, da disse udelukkende bruges til ’Path Traversal’, og ikke kun benyttes i CVE-2019-17891.
Anbefaling
Center for Cybersikkerhed anbefaler, at der overvejes passende modforanstaltninger for at sikre disse Citrix Gateways. Dette indebærer blandt andet, at oprette regler, som midlertidigt blokerer forespørgsler der viser tegn på ’Path Traversal’ (
/../
), og forespørgsler, der indeholder ”/vpns/” til Citrix serverne.
Dernæst anbefales det, at patches, som udgives af Citrix i slutningen af januar, implementeres hurtigst muligt, for dermed at begrænse udnyttelsen af sårbarheden.
Derudover, anbefales det, at anføre de modforanstaltninger Citrix, har udgivet: https://support.citrix.com/article/CTX267679
Afslutningsvis anbefales det, at eventuelle logs fremsøges, for at kunne konkludere, hvorvidt man er blevet forsøgt udnyttet af sårbarheden, og om dette har været succesfuldt eller ej.
Links
https://support.citrix.com/article/CTX267027
https://support.citrix.com/article/CTX267679
https://nvd.nist.gov/vuln/detail/CVE-2019-19781