Haavoittuvuus24/2019
Citrix Application Delivery Controller (ADC) sekä Citrix Gateway -tuotteista on löydetty haavoittuvuus, jota hyväksikäyttämällä tunnistautumattoman hyökkääjän on mahdollista suorittaa kohdejärjestelmässä mielivaltaista ohjelmakoodia. Haavoittuvuuksia skannataan aktiivisesti ja haavoittuviin laitteisiin tehdään tietomurtoja. Kyberturvallisuuskeskuksella on tiedossaan useita tapauksia Suomesta. Valmistaja on julkaissut tuotteille korjaavat päivitykset. Citrix ja FireEye ovat julkaisseet ilmaisen työkalun, jolla on mahdollista tunnistaa murrettu Citrix-järjestelmä.
Citrix julkaisi 17.12.2019 haavoittuvuustiedotteen koskien Citrix Application Delivery Controller (ADC) -tuotetta, joka tunnettiin aiemmin nimellä NetScaler ADC sekä Citrix Gateway -tuotetta, aiemmalta nimeltään NetScaler Gateway.
Molemmista mainituista ohjelmistoista löydetyn haavoittuvuuden CVE-2019-19781 onnistunut hyväksikäyttö voi mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen haavoittuvassa kohdejärjestelmässä. Haavoittuvuuksia käytetään aktiivisesti hyväksi tietomurtojen yhteydessä.
CVE-2019-19781: Vulnerability in Citrix Application Delivery Controller and Citrix Gateway leading to arbitrary code execution
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
- Citrix ADC ja Citrix Gateway versio 13.0
- Citrix ADC ja NetScaler Gateway versio 12.1
- Citrix ADC ja NetScaler Gateway versio 12.0
- Citrix ADC ja NetScaler Gateway version 11.1
- Citrix NetScaler ADC ja NetScaler Gateway version 10.5
- Citrix SD-WAN WANOP -ohjelmisto ja laitemallit 4000, 4100, 5000 ja 5100
Haavoittuvuus koskee mainittuja ohjelmistoversioita kaikilla tuetuilla alustoilla.
Mistä on kysymys?
Päivitys (27.1.2020):
Valmistaja on julkaissut loputkin korjaavat päivitykset perjantaina 24.1.2020.
Suosittelemme tarkistamaan laitteet tietomurtojen varalta. Suositeltu rajoitusmenetelmä ei välttämättä ole estänyt kaikkia haavoittuvuuden hyväksikäyttötapoja.
Päivitys (23.1.2020)
Citrix ja FireEye ovat julkaisseet ilmaisen työkalun, jolla on mahdollista tunnistaa murrettu Citrix-järjestelmä.
Työkalu on suunniteltu toimimaan Citrix Application Delivery Controller (ADC), Citrix Gateway ja Citrix SD-WAN WANOP laitteiden seuraavilla ohjelmistoversioilla:
- Citrix ADC ja Citrix Gateway versio 13.0
- Citrix ADC ja Citrix Gateway versio 12.1
- Citrix ADC ja Citrix Gateway versio 12.0
- Citrix ADC ja Citrix Gateway versio 11.1
- Citrix ADC ja Citrix Gateway versio 10.5
- Citrix SD-WAN WANOP versio 10.2.6
- Citrix SD-WAN WANOP versio 11.0.3
Lue tarkempia tietoja ja ohjeita työkalun käyttöön liittyen FireEye:n blogista: https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html (Ulkoinen linkki)
Työkalun voi ladata Citrixin githubista: https://github.com/citrix/ioc-scanner-CVE-2019-19781 (Ulkoinen linkki)
Päivitys (20.1.2020):
Valmistaja on julkaissut aikataulun ohjelmistot korjaaville päivityksille. Citrix ADC ja Netscaler Gateway versioille 11.1 ja 12.0 on julkaistu päivitys 19.1. Citrix SD-WAN WANOP ja muut ADC ja Gateway -versiot saavat päivityksen 24.1.2020.
| Citrix ADC ja Netscaler Gateway | ||
| Version | Refresh Build | Release Date |
| 10.5 | 10.5.70.x | 24.1.2020 |
| 11.1 | 11.1.63.15 | 19.1.2020 |
| 12.0 | 12.0.63.13 | 19.1.2020 |
| 12.1 | 12.1.55.x | 24.1.2020 |
| 13.0 | 13.0.47.x | 24.1.2020 |
| Citrix SD-WAN WANOP | ||
| Release | Citrix ADC Release | |
| 10.2.6 | 11.1.51.615 | 24.1.2020 |
| 11.0.3 | 11.1.51.615 | 24.1.2020 |
Korjaavat päivitykset voi ladata osoitteista: https://www.citrix.com/downloads/citrix-adc/ (Ulkoinen linkki) ja https://www.citrix.com/downloads/citrix-gateway/ (Ulkoinen linkki)
Valmistaja on julkaissut työkalun, jolla rajoitustoimien toimivuuden voi varmistaa: https://support.citrix.com/article/CTX269180 (Ulkoinen linkki)
Päivitys (16.1.2020):
Valmistajan mukaan Citrix ADC -ohjelmistossa ennen version 12.1 käännösversioita 51.16/51.19 ja 50.31 on virhe, joka estää suositellun rajoitusmenetelmän toiminnan. Näitä versioita suositellaan päivitettäväksi uudempaan, jotta rajoitusmenetelmä toimisi.
Voit tilata muistutuksen korjaavan ohjelmistoversion julkaisusta valmistajan sivuilta:
https://support.citrix.com/user/alerts (Ulkoinen linkki)
Valmistaja on julkaissut ohjeen hyväksikäytön rajoittamiseksi:
https://support.citrix.com/article/CTX267679 (Ulkoinen linkki)
Ohjelmistovalmistaja suosittelee rajoitustoimenpiteiden välitöntä käyttöönottoa kaikissa haavoittuvissa järjestelmissä, sekä päivittämään korjatun ohjelmiston heti käyttöön kun ne ovat saatavilla.
Mitä voin tehdä?
Valmistajan haavoittuvuustiedote:
CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
https://support.citrix.com/article/CTX267027 (Ulkoinen linkki)
Valmistajan mukaan Citrix ADC -ohjelmistossa ennen version 12.1 käännösversioita 51.16/51.19 ja 50.31 on virhe, joka estää suositellun rajoitusmenetelmän toiminnan. Näitä versioita suositellaan päivitettäväksi uudempaan, jotta rajoitusmenetelmä toimisi.
Lisätty tieto korjauspäivityksistä ja tulevien korjauspäivitysten aikataulusta.
Lisätty tieto Citrixin ja FireEye:n julkaisemasta työkalusta, jolla on mahdollista tunnistaa murrettu Citrix-järjestelmä.
Lisätty tieto lopuistakin korjauspäivityksistä.