Positive Technologies
  • Уязвимость в ПО Citrix: хронология и рекомендации
База Знаний

Уязвимость в ПО Citrix: хронология и рекомендации

Уязвимость в ПО Citrix: хронология и рекомендации

Коротко об уязвимости

Эксперт Positive Technologies Михаил Ключников обнаружил критическую уязвимость в Citrix Application Delivery Controller¹ (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

Данной уязвимости подвержены все поддерживаемые версии продукта и все поддерживаемые платформы, в том числе Citrix ADC и Citrix Gateway версии 13.0, Citrix ADC и NetScaler Gateway версии 12.1, Citrix ADC и NetScaler Gateway версии 12.0, Citrix ADC и NetScaler Gateway версии 11.1, а также Citrix NetScaler ADC и NetScaler Gateway версии 10.5.

Уязвимость в ПО Citrix

Уязвимость позволяет злоумышленнику получить полный контроль над атакуемой системой и продвинуться внутрь сети вашей компании. Сохраняется вероятность того, что ваши системы уже были скомпрометированы с использованием данной уязвимости.

Распространение уязвимости

Эксперты Positive Technologies установили, что потенциально уязвимы не менее 80 000 компаний из 158 стран.

Распространение уязвимости

Россия находится на 26-м месте рейтинга по общему числу потенциально уязвимых компаний различных секторов бизнеса — всего более 300 организаций, в том числе входящих в список крупнейших компаний России по версии РБК.

Что делать?

До выхода и применения официального патча на ваших системах Citrix NetScaler мы рекомендуем:

  1. Проверить наличие уязвимости можно отправив запрос серверу: GET /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1

    Если узел уязвим, ответ будет таким:

    <title> Citrix Access Gateway: Error <title>

    Для обнаружения атаки рекомендуем отслеживать запросы вида:

    POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
  2. Применить рекомендации Citrix по настройкам системы Citrix NetScaler для предотвращения эксплуатации уязвимости: https://support.citrix.com/article/CTX267679
  3. Отфильтровать или полностью прекратить доступ к системам Citrix NetScaler со стороны сети Интернет.
  4. Если у вас используется межсетевой экран уровня приложений PT Application Firewall, то для блокировки возможной атаки систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени.
  5. Если используется система анализа трафика PT Network Attack Discovery, можно детектировать попытки эксплуатации данной уязвимости в режиме онлайн, воспользовавшись специальными правилами:

Развитие событий

4 декабря 2019 г.

Специалисты Positive Technologies обнаружили критическую уязвимость в системах Citrix Application Delivery Controller (ADC), ранее известном как NetScaler ADС, и Citrix Gateway, ранее известном как NetScaler Gateway, и уведомили о ней Citrix.

17 декабря 2019 г.

Citrix выпустил бюллетень по безопасности CTX267027 : уязвимость в Citrix Application Delivery Controller (ADC), ранее известном как NetScaler ADC, и Citrix Gateway, ранее известном как NetScaler Gateway, которая может привести к выполнению произвольного кода.

Выявленной уязвимости присвоен CVE-2019-19781.

Citrix выпустил рекомендации по настройкам системы Citrix NetScaler, нацеленные на предотвращение эксплуатации.

17 декабря 2019 г.

Правила обнаружения этой атаки добавлены в базу знаний PT Application Firewall

18 декабря 2019 г.

В PT Network Attack Discovery внесены специальные правила, детектирующие попытки эксплуатации данной уязвимости в режиме онлайн.

19 декабря 2019 г.

Positive Technologies выпустила официальное сообщение с рекомендациями по выявлению атаки и защите.

12 января 2020 г.

На сервисе GitHub был обнаружен рабочий экслойт под ранее обнаруженную уязвимость CVE2019-19781 в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway)

15 января 2020 г.

Эксперты Positive Technologies фиксируют волну массовых сканирований cети Интернет с целью поиска данной уязвимости и ее эксплуатации

19 января 2020 г.

Выпущено обновление для систем Citrix ADC и Citrix Gateway версий 11,1 и 12,0

22 января 2020 г.

Выпущено обновление для Citrix SD-WAN WANOP версии 10.2.6 и Citrix SD-WAN WANOP версии 11.0.3

23 января 2020 г.

Выпущено обновление для систем Citrix ADC и Citrix Gateway версий 13,0 и 12,1

24 января 2020 г.

Выпущено обновление для систем Citrix ADC и Citrix Gateway версии 10,5

7 февраля 2020 г.

Мониторинг актуальных угроз (threat intelligence) компании Positive Technologies показал, что каждая пятая компания мира все еще потенциально уязвима.

Распространение уязвимости

 

  1. Citrix ADC — программно-ориентированное решение для доставки приложений и балансировки нагрузки, специально разработанное, чтобы повысить скорость работы традиционных, облачных и веб-приложений, независимо от того, где они размещены. Аналитики Stratistics MRC ожидают, что мировой рынок контроллеров доставки приложений такого типа вырастет на 6,8% и достигнет почти 5 млрд $ (4,98 млрд $) к 2023 году. По мнению аналитиков, наибольшее распространение такие контроллеры уже получили в ИТ- и телеком-отраслях. К 2023 году спрос на ADC вырастет у банков, финансовых и страховых компаний.