Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Citrix Application Delivery Controller (ADC) sekä Citrix Gateway -tuotteista on löydetty haavoittuvuus, jota hyväksikäyttämällä tunnistautumattoman hyökkääjän on mahdollista suorittaa kohdejärjestelmässä mielivaltaista ohjelmakoodia. Haavoittuvuuksia skannataan aktiivisesti ja haavoittuviin laitteisiin tehdään tietomurtoja. Kyberturvallisuuskeskuksella on tiedossaan useita tapauksia Suomesta. Valmistaja on julkaissut tuotteille korjaavat päivitykset. Citrix ja FireEye ovat julkaisseet ilmaisen työkalun, jolla on mahdollista tunnistaa murrettu Citrix-järjestelmä.

Citrix julkaisi 17.12.2019 haavoittuvuustiedotteen koskien Citrix Application Delivery Controller (ADC) -tuotetta, joka tunnettiin aiemmin nimellä NetScaler ADC sekä Citrix Gateway -tuotetta, aiemmalta nimeltään NetScaler Gateway.

Molemmista mainituista ohjelmistoista löydetyn haavoittuvuuden CVE-2019-19781 onnistunut hyväksikäyttö voi mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen haavoittuvassa kohdejärjestelmässä. Haavoittuvuuksia käytetään aktiivisesti hyväksi tietomurtojen yhteydessä. 

CVE-2019-19781: Vulnerability in Citrix Application Delivery Controller and Citrix Gateway leading to arbitrary code execution

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvuuden kohde

  • Citrix ADC ja Citrix Gateway versio 13.0
  • Citrix ADC ja NetScaler Gateway versio 12.1
  • Citrix ADC ja NetScaler Gateway versio 12.0
  • Citrix ADC ja NetScaler Gateway version 11.1
  • Citrix NetScaler ADC ja NetScaler Gateway version 10.5
  • Citrix SD-WAN WANOP -ohjelmisto ja laitemallit 4000, 4100, 5000 ja 5100

Haavoittuvuus koskee mainittuja ohjelmistoversioita kaikilla tuetuilla alustoilla.

Mistä on kysymys?

Päivitys (27.1.2020):

Valmistaja on julkaissut loputkin korjaavat päivitykset perjantaina 24.1.2020.

Suosittelemme tarkistamaan laitteet tietomurtojen varalta. Suositeltu rajoitusmenetelmä ei välttämättä ole estänyt kaikkia haavoittuvuuden hyväksikäyttötapoja.

 

Päivitys (23.1.2020)

Citrix ja FireEye ovat julkaisseet ilmaisen työkalun, jolla on mahdollista tunnistaa murrettu Citrix-järjestelmä. 

Työkalu on suunniteltu toimimaan Citrix Application Delivery Controller (ADC), Citrix Gateway ja Citrix SD-WAN WANOP laitteiden seuraavilla ohjelmistoversioilla: 

  • Citrix ADC ja Citrix Gateway versio 13.0
  • Citrix ADC ja Citrix Gateway versio 12.1
  • Citrix ADC ja Citrix Gateway versio 12.0
  • Citrix ADC ja Citrix Gateway versio 11.1
  • Citrix ADC ja Citrix Gateway versio 10.5
  • Citrix SD-WAN WANOP versio 10.2.6
  • Citrix SD-WAN WANOP versio 11.0.3

Lue tarkempia tietoja ja ohjeita työkalun käyttöön liittyen FireEye:n blogista: https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html (Ulkoinen linkki)

Työkalun voi ladata Citrixin githubista: https://github.com/citrix/ioc-scanner-CVE-2019-19781 (Ulkoinen linkki)

 

Päivitys (20.1.2020):

Valmistaja on julkaissut aikataulun ohjelmistot korjaaville päivityksille. Citrix ADC ja Netscaler Gateway versioille 11.1 ja 12.0 on julkaistu päivitys 19.1. Citrix SD-WAN WANOP ja muut ADC ja Gateway -versiot saavat päivityksen 24.1.2020. 

Citrix ADC ja Netscaler Gateway  
VersionRefresh BuildRelease Date
10.510.5.70.x24.1.2020
11.111.1.63.1519.1.2020
12.012.0.63.1319.1.2020
12.112.1.55.x24.1.2020
13.013.0.47.x24.1.2020
Citrix SD-WAN WANOP  
ReleaseCitrix ADC Release 
10.2.611.1.51.61524.1.2020
11.0.311.1.51.61524.1.2020

Korjaavat päivitykset voi ladata osoitteista: https://www.citrix.com/downloads/citrix-adc/ (Ulkoinen linkki) ja https://www.citrix.com/downloads/citrix-gateway/ (Ulkoinen linkki)

Valmistaja on julkaissut työkalun, jolla rajoitustoimien toimivuuden voi varmistaa: https://support.citrix.com/article/CTX269180 (Ulkoinen linkki)

 

Päivitys (16.1.2020):

Valmistajan mukaan Citrix ADC -ohjelmistossa ennen version 12.1 käännösversioita 51.16/51.19 ja 50.31 on virhe, joka estää suositellun rajoitusmenetelmän toiminnan. Näitä versioita suositellaan päivitettäväksi uudempaan, jotta rajoitusmenetelmä toimisi.

Voit tilata muistutuksen korjaavan ohjelmistoversion julkaisusta valmistajan sivuilta:
https://support.citrix.com/user/alerts (Ulkoinen linkki)

 

Valmistaja on julkaissut ohjeen hyväksikäytön rajoittamiseksi:
https://support.citrix.com/article/CTX267679 (Ulkoinen linkki)

Ohjelmistovalmistaja suosittelee rajoitustoimenpiteiden välitöntä käyttöönottoa kaikissa haavoittuvissa järjestelmissä, sekä päivittämään korjatun ohjelmiston heti käyttöön kun ne ovat saatavilla.

Mitä voin tehdä?

Valmistajan haavoittuvuustiedote:

CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
https://support.citrix.com/article/CTX267027 (Ulkoinen linkki)

 

 

Valmistajan mukaan Citrix ADC -ohjelmistossa ennen version 12.1 käännösversioita 51.16/51.19 ja 50.31 on virhe, joka estää suositellun rajoitusmenetelmän toiminnan. Näitä versioita suositellaan päivitettäväksi uudempaan, jotta rajoitusmenetelmä toimisi.

Lisätty tieto korjauspäivityksistä ja tulevien korjauspäivitysten aikataulusta.

Lisätty tieto Citrixin ja FireEye:n julkaisemasta työkalusta, jolla on mahdollista tunnistaa murrettu Citrix-järjestelmä.

Lisätty tieto lopuistakin korjauspäivityksistä.