Grave Vulnerabilità 0-Day su Citrix ADC e NetScaler

Proto: N020120.

Con la presente Yoroi desidera informarLa riguardo ad una grave vulnerabilità 0day presente nelle soluzione tecnologiche NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway, una tra le principali soluzioni tecnologiche adottate in contesti Enterprise per la gestione, il bilanciamento e la fruibilità delle applicazioni aziendali in uso. La criticità è nota con l’identificativo CVE-2019-19781.

La problematica è originata da lacune nella gestione delle richieste http client da parte delle interfacce web degli Appliance in questione, che rendono possibile ad un attaccante remoto di eseguire comandi arbitrari all’interno del sistema, installare backdoor e malware senza alcuna di autenticazione.

Figura. Potenziale esposizione Citrix NetScaler in Italia (Fonte:ShodanHQ)

Il Produttore ha confermato la problematica attraverso il bollettino CTX267027, dove risulta pianificato il rilascio di aggiornamenti firmware a partire dal 20 Gennaio 2020 in poi per tutte le versioni supportate di:

Sono inoltre disponibili mitigazioni temporanee atte a placare la criticità in attesa del rilascio patch di sicurezza ufficiali, rese note dal Vendor con il bollettino CTX267679. Nella fattispecie sono disponibili variazioni alle configurazioni e policy volte ad inibire lo sfruttamento della vulnerabilità per installazioni in modalità "Standalone", "High Availability" e "Cluster".

Per via della possibile esposizione internet delle tecnologie vulnerabili, del pubblico rilascio di dettagli tecnici e strumenti di attacco volti a sfruttare la problematica e della presenza di tentativi di attacco in corso, Yoroi consiglia caldamente di applicare con urgenza le mitigazioni proposte dal Produttore e di pianificare l’installazione degli aggiornamenti firmware previsti per fine Gennaio 2020.  

Yoroi consiglia inoltre di effettuare controlli ed investigazioni precauzionali all’interno dei log degli appliance Citrix ADC e NetScaler, nella fattispecie sui file di log “httpaccess.log” e “httperror.log”, ricercando richieste similari a “POST /vpn/../vpns/portal/scripts/newbm.pl”; nei file di log “bash.log”, ricercando l’utilizzo di comandi lanciati inusualmente (e.g. "curl", "uname", "whoami") e di verificare l’eventuale presenza di processi anomali lanciati dai servizi web.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index