Уязвимость RCE в ADC и шлюзах Citrix

Citrix a lansat un aviz pentru CVE-2019-19781, o vulnerabilitate în Citrix Application Delivery Controller (ADC) și Citrix Gateway care ar putea permite unui atacator neautentificat să execute cod pe dispozitivele afectate.
Dacă această vulnerabilitate este exploatată, atacatorii obțin acces direct la rețeaua locală a companiei din Internet. Acest atac nu necesită acces la niciun cont și, prin urmare, poate fi efectuat de orice atacator extern.

În timp ce Citrix nu detaliază natura exactă a vulnerabilității din aviz, etapele de mitigare recomandate par să blocheze cererile VPN bazate pe HTTP cu componente suplimentare care ar putea conține cod. Aceasta implică faptul că există un cod nesanitizat în manipulatorul VPN pentru aceste dispozitive. Prin urmare, atenuarea verifică solicitările VPN bazate pe HTTP primite și trimite un răspuns 403 FORBIDDEN ori de câte ori sunt detectate cereri cu formatul de exploatare.

Dispozitiv potențial afectate:
•    NetScaler ADC și NetScaler Gateway versiunea 10.5 toate construirile acceptate
•    ADC și NetScaler Gateway versiunea 11.1 toate versiunile acceptate
•    ADC și NetScaler Gateway versiunea 12.0 toate versiunile acceptate
•    ADC și NetScaler Gateway versiunea 12.1 toate construirile acceptate
•    ADC și Citrix Gateway versiunea 13.0 toate versiunile acceptate

Plan de mitigare:
Soluție permanentă: Nu a fost lansat încă niciun „patch” real. Citrix a declarat că o actualizare va fi disponibilă la o dată ulterioară (consultați linkul de mai jos).
Soluție: În funcție de configurarea dispozitivului unei organizații, opțiunile de atenuare sunt listate pe link (consultați https://support.citrix.com/article/CTX267027) pentru fiecare configurație a dispozitivului Citrix pentru a mitiga această vulnerabilitate. Rezolvarea blochează accesul la adresele URL care conțin „/ vpns /” sau „/../”.

Orange Moldova CERT recomandă să urmați soluție propusă și să aplicați patch-ul atunci când este disponibil.