Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad - Sårbarhet, Citrix

Kritisk Citrix-sårbarhet

Uppdatering 2020-01-11

Kodexempel (Proof of Concept, PoC) för att utnyttja sårbarheten CVE-2019-19781 har publicerats.[5,6] Även om det tidigare bedömts att informationen kring sårbarheten gjorde det relativt lätt att hitta sätt att utnyttja den, har detta gjort fungerande kod tillgänglig en googling bort. Detta öker naturligtvis risken för att sårbarheten utnyttjas.

Under de två veckor som gått sedan CERT-SE uppmärksammade sårbarheten har antalet sårbara installationer i Sverige sjunkit markant. CERT-SE har informerat brett men även tagit riktade kontakter för att nå de som administrerar de system som i skanningar visat symptom på att vara sårbara. Det finns dock fortfarande hundratals sårbara system på svenska IP-adresser och CERT-SE uppmanar systemadministratörer att undersöka ifall deras miljö är påverkad, genomföra mitigerande åtgärder samt undersöka huruvida sårbarheten redan utnyttjats. En av de parter som publicerat PoC har även publicerat råd kring hur en sådan utredning kan påbörjas.[7]

En kritisk sårbarhet (CVE-2019-19781) [1] i Citrix Application Delivery Controller (NetScaler ADC) och Citrix Gateway (NetScaler Gateway) har tilldelats CVSSv3 9.8 [2].

Om sårbarheten exploateras kan angripare få tillgång till en organisations lokala nätverk och verksamhetskritiska system direkt från internet. Det krävs inte tillgång till några konton för att kunna genomföra ett angrepp vilket gör sårbarheten relativt enkel att exploatera för en extern angripare.

I Sverige finns över 1000 installationer med denna sårbarhet inom såväl privat som offentlig verksamhet, exponerade mot internet.

Påverkade produkter

Sårbarheten påverkar alla supportade versioner av produkten och plattformar, vilket inkluderar

Citrix ADC and Citrix Gateway 13.0
Citrix ADC and NetScaler Gateway 12.1
Citrix ADC and NetScaler Gateway 12.0
Citrix ADC and NetScaler Gateway 11.1
Citrix NetScaler ADC 
NetScaler Gateway 10.5.

Rekommendationer

Det finns ännu (2020-01-11) ingen säkerhetsuppdatering tillgänglig men Citrix har publicerat några olika mitigerande åtgärder beroende på konfiguration. Dessa bör systemadministratörer implementera skyndsamt.[4]
Undersök även om sårbarheten redan utnyttjats på systemet. Några tips på logganalys kring just denna sårbarhet har finns i källa [7].

För mer information arrangerade SANS Technology Institute ett webinar med Johannes B. Ullrich, Ph.D., Dean of Research, där denna kritiska Citrix-sårbarhet diskuterades [3].

Källor

[1] https://support.citrix.com/article/CTX267027
[2] https://nvd.nist.gov/vuln/detail/CVE-2019-19781
[3] https://www.youtube.com/watch?v=lr1F73Tf6rU
[4] https://support.citrix.com/article/CTX267679
[5] https://github.com/projectzeroindia/CVE-2019-19781
[6] https://github.com/trustedsec/cve-2019-19781
[7] https://www.trustedsec.com/blog/netscaler-remote-code-execution-forensics/