Talvolta sembra di portare solo brutte notizie…. ma oggi c’è un nuovo, brutto bollettino di sicurezza che Citrix ha rilasciato per una vulnerabilità su ADC (NetScaler) e Gateway, censita come CVE-2019-19781, che se sfruttata permette all’attaccante di eseguire del codice sul nostro apparato.
Ma la cosa più brutta è tutte le versioni sono vulnerabili e non sono ancora disponibili versioni che risolvano questo problema.
Citrix ha pubblicato un articolo dove spiega come mitigare il problema applicando alcune responder policy
Ci aspettiamo al più presto un aggiornamento sulla knowledge base Citrix.
Per ulteriori informazioni:
- CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
- Mitigation Steps for CVE-2019-19781
AGGIORNAMENTO 11/01/2020:
Sono ormai disponibili online numerosi script ed esempi per sfruttare la vulnerabilità ed il numero di tentativi sta aumentando giorno dopo giorno. Raccomando con la massima urgenza l’applicazione delle policy per mitigare la vulnerabilità: se non siete autonomi contattate il vostro partner di riferimento o provate a scrivermi.
Citrix ha aggiornato la sua KB pubblicando le date di rilascio per i nuovi firmware.
In particolare:
- Citrix ADC 13 – 27-Jan-2020
- Citrix ADC 12.1 – 27-Jan-2020
- Citrix NetScaler 12 – 20-Jan-2020
- Citrix NetScaler 11.1 – 20-Jan-2020
- Citrix NetScaler 10.5 – 31-Jan-2020
Citrix provides update on Citrix ADC, Citrix Gateway vulnerability
Nel frattempo raccomando l’applicazione delle policy per mitigare la vulnerabilità in quanto posso confermare la presenza di bot e tentativi di attacco su servizi AAA e Gateway pubblici.
AGGIORNAMENTO 17/01/2020
Con un ulteriore aggiornamento Citrix ha esteso la CVE anche ai NetScaler SD-WAN.
Inoltre le build antecedenti la 51.16/51.19 and 50.31 del firmware versione 12.1 sono affette da un bug che non applica correttamente le responder policy ai virtual servers VPN. In questo caso è necessario aggiornare il firmware ad una versione più recente.
Sono ormai disponibili online una serie di script per testare e sfruttare questa vulnerabilità. Citrix ha inoltre pubblicato CVE-2019-19781 – Verification Tool per testare se gli apparati sono vulnerabili o meno.
AGGIORNAMENTO 20/01/2020:
Disponibili firmware aggiornati per le versioni 11.1 e 12.0:
AGGIORNAMENTO 24/01/2020
Disponibili i firmware aggiornati anche per le versioni 12.1 e 13.0 e SDWAN:
Anche Palo Alto Networks ha aggiunto e signature nel proprio database di Threat Prevention.