13.01.2020 14:00

Citrix CVE-2019-19781 aktiv ausgenutzt

Beschreibung

Ende 2019 wurde eine Sicherheitslücke in diversen Citrix-Geräten bekannt (CVE-2019-19781), die das Ausführen beliebiger Befehle über das Netzwerk ohne jegliche Authentifikation ermöglicht (unauthenticated RCE). Am 10. Jänner 2020 wurde der erste Exploit für diese Lücke auf GitHub veröffentlicht und sie wird (spätestens) seit diesem Zeitpunkt aktiv ausgenutzt.

CERT.at hat bereits eine Warnung an alle Betroffenen geschickt, deren Systeme per Shodan.io identifizierbar und potentiell verwundbar sind, aber da wir nicht wissen, wie gut die Indexierung von Shodan in diesem Fall ist, kann nicht davon ausgegangen werden, dass wir wirklich alle Betroffenen erreichen konnten. Sollten Sie die Workarounds noch nicht implementiert haben, ist es durchaus möglich, dass Ihr System bereits kompromittiert wurde. Einige Hinweise, wie Sie das erkennen können, finden Sie unter https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+are+Public+and+Heavily+Used+Attempts+to+Install+Backdoor/25700/ und https://www.trustedsec.com/blog/netscaler-remote-code-execution-forensics/.

Auswirkungen

AngreiferInnen können ohne Authentifikation beliebige Befehle als User nobody über das Netzwerk ausführen.

Betroffene Systeme

Laut Citrix sind Citrix Application Delivery Controller (vormals NetScaler ADC) und Citrix Gateway (vormals NetScaler Gateway) in allen unterstützten Versionen und Plattformen betroffen:

  • Citrix ADC und Citrix Gateway version 13.0
  • Citrix ADC und NetScaler Gateway version 12.1
  • Citrix ADC und NetScaler Gateway version 12.0
  • Citrix ADC und NetScaler Gateway version 11.1
  • Citrix NetScaler ADC und NetScaler Gateway version 10.5

Update: 17. Jänner 2020

Citrix hat bekanntgegeben, dass weitere Produkte von CVE-2019-19781 betroffen sind:

  • Citrix SD-WAN WANOP Software und Appliance in den Modellen 4000, 4100, 5000, und 5100

Abhilfe

Implementierung der zur Verfügung gestellten Workarounds, die Sie unter https://support.citrix.com/article/CTX267027 finden.

Update: 17. Jänner 2020

Citrix hat bekanntgegeben, dass die Workarounds für Citrix ADC Release 12.1 builds vor 51.16/51.19 und 50.31 nicht funktionieren. In diesem Fall muss vor deren Implementierung ein Update auf eine höhere Version eingespielt werden.

Ein Tool zur Überprüfung, ob diese korrekt umgesetzt wurden, finden Sie auf GitHub: https://github.com/trustedsec/cve-2019-19781/

Update: 17. Jänner 2020

Citrix hat nun selbst ein Tool zum Testen veröffentlicht: https://support.citrix.com/article/CTX269180

Updates gibt es noch keine, allerdings schon geplante Veröffentlichungstermine:

  • Version 10.5: 31. Jänner 2020
  • Version 11.1: 20. Jänner 2020
  • Version 12.0: 20. Jänner 2020
  • Version 12.1: 27. Jänner 2020
  • Version 13.0: 27. Jänner 2020

Update: 17. Jänner 2020

Die geplanten Veröffentlichungstermine für die Citrix SD-WAN WANOP Software und Appliances sind ebenfalls bekannt:

  • Release 10.2.6 mit NetScaler Release 11.1.63.x: 27. Jänner 2020
  • Release 11.0.3 mit NetScaler Release 11.1.63.x: 27. Jänner 2020