Ytterligare uppdatering om kritisk Citrix-sårbarhet

Sårbarhet Citrix

Artikel uppdaterad den 23 januari med information om kommande patchar samt information om verktyg för att kontrollera om man blivit angripen.Den 17 december publicerades CVE-2019-19781, en sårbarhet i ett antal produkter från Citrix. [1]

I början av januari tillgängliggjordes en proof-of-concept för hur sårbarheten kan utnyttjas, och den exploateras nu aktivt. [2]

CERT-SE har kontaktat verksamheter som använder sig av de sårbara produkterna, och ännu finns det i Sverige sårbara system exponerade mot internet. Ett par säkerhetsuppdateringar finns tillgängliga, men resterande har Citrix meddelat publiceras senare i veckan. Det finns dock mitigerande åtgärder som fungerar i de flesta sammanhang.

Påverkade produkter

Sårbarheten påverkar alla supportade versioner av produkten och plattformar, vilket inkluderar:

Citrix ADC och Citrix Gateway 13.0
Citrix ADC och NetScaler Gateway 12.1
Citrix ADC och NetScaler Gateway 12.0
Citrix ADC och NetScaler Gateway 11.1
Citrix NetScaler ADC och NetScaler Gateway  10.5
Citrix SD-WAN WANOP programvaru- och hårdvarumodeller 4000, 4100, 5000, och 5100 [1]

Ytterligare undersökningar av Citrix har visat att det här problemet också påverkar vissa distributioner av Citrix SDWAN, särskilt Citrix SDWAN WANOP-utgåvan. Citrix SDWAN WANOP-utgåvan paketerar Citrix ADC som en lastbalanserare vilket resulterar att även dessa installationer påverkas [1].

Vad innebär sårbarheten?

Bristen kan utnyttjas för att installera en bakdörr, ta kontroll över ett angripet system och fjärrexekvera kod [3].

Finns det någon patch?

Citrix har publicerat ett par säkerhetsuppdateringar och övriga väntas göras tillgängliga senare i veckan enligt följande (datum för säkerhetsuppdatering har tidigarelagts, artikel uppdaterad den 23 januari) [1]:

Citrix ADC and NetScaler Gateway 11.1: 19 januari [4]
Citrix ADC and NetScaler Gateway 12.0: 19 januari [4]
Citrix ADC and Citrix Gateway 13.0: 24 januari
Citrix ADC and NetScaler Gateway 12.1: 24 januari
Citrix NetScaler ADC and NetScaler Gateway 10.5: 24 januari

Finns det någon form av mitigerande åtgärder?

Citrix har publicerat rekommendationer för hur man i väntan på att patch finns tillgänglig kan skydda sin infrastruktur mot exploatering av sårbarheten. [5]

Hur vet man om man är drabbad?

Citrix har publicerat ett verktyg som kan användas för att undersöka om man är sårbar. [6] Fireeye har även publicerat ett verktyg som kan användas för att kontrollera att ens infrastruktur inte blivit komprometterad. [7]

Rekommendationer

CERT-SE rekommenderar att vidta mitigerande åtgärder, och installera patcharna så snart de är tillgängliga.

Källor

[1] https://support.citrix.com/article/CTX267027

[2] https://www.tenable.com/blog/cve-2019-19781-exploit-scripts-for-remote-code-execution-vulnerability-in-citrix-adc-and

[3] https://www.tenable.com/blog/cve-2019-19781-exploit-scripts-for-remote-code-execution-vulnerability-in-citrix-adc-and

[4] https://www.citrix.com/downloads/citrix-adc/

[5] https://support.citrix.com/article/CTX267679

[6] https://support.citrix.com/article/CTX269180

[7] https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html