cve - 2019 - 19781:为远程代码执行漏洞利用脚本在Citrix ADC和网关
![](http://www.yyueer.com/sites/default/files/images/articles/TenableResearchCEAlertCritical_0.jpg)
攻击者是积极探索脆弱Citrix应用程序交付控制器(ADC)和网关主机,同时发布多个概念验证脚本,强调立即减轻这一缺陷的重要性。
背景
12月17日,Citrix发表了一篇支持文章为cve - 2019 - 19781Citrix ADC的路径遍历缺陷和Citrix网关,这两个是原名NetScaler ADC和NetScaler网关。Citrix警告说,成功的开发可能导致一个未经身份验证的远程代码执行攻击者获得。Citrix没有提供一个补丁的漏洞,而是强烈敦促客户应用缓解措施阻止开发尝试。几个星期以来,攻击者已经开始扫描脆弱主机侦察,一些报道认为攻击者可能已经在野外利用这个漏洞。
1月3日,无网络风暴中心(ISC)在推特上,他们已经观察到的“首次利用尝试”漏洞在野外。
刚刚看到的第一个尝试利用Citrix ADC /网关cve - 2019 - 19781打我们从223.167.22.29 honeypot之一。更多的细节。# cve201919781# citrix# netscaler
-无ISC (@sans_isc)2020年1月3日
根据Shodan,超过125000 Citrix ADC或网关主机公开访问。内特Warfield从微软的安全响应中心发现,每个系统他“现场检查”是容易cve - 2019 - 19781。
如果你在你的网络运行Citrix你真的* *需要阅读。一个像样的@shodanhq码头在这里找到系统:https://t.co/YP0yILjXED
(Nate Warfield)——(÷÷)——(@n0x08)2020年1月9日
检查每一个系统,我发现到目前为止脆弱;这将燃烧的人。尽快采取措施来保护自己。https://t.co/hmmfUxfe8f
分析
Citrix提供的信息在他们的减排措施提供线索的脆弱的组件ADC和网关,引用请求包含“/ vpn /”路径。因为这是一个路径遍历缺陷,识别一个脆弱的ADC或网关主机需要确认文件以外的存在原始路径请求。
1月7日无ISC发表一篇博客更多细节关于袭击者扫描“粘蜜罐”,试图利用这一缺陷。在博客,他们引用请求寻找文件conf中的在“/ vpn / cfg /”路径。请求该文件从一个脆弱的Citrix ADC或网关将成功返回一个配置文件。系统应用Citrix建议缓解措施禁止将返回一个HTTP 403响应。
1月8日,克雷格年轻,本金安全研究员Tripwire漏洞和风险研究术语(绿色),发表一篇博客讨论他如何实现“任意命令执行”一个脆弱的ADC主机。年轻,有Perl脚本位于“/ vpn /“路径Citrix的电器,可以针对允许有限的文件写在脆弱的主机上。
1月10日,力拓雪莉,MDSec高级安全顾问发表一篇博客与额外的洞察有限文件写作,强调代码的csd UserPrefs perl模块的功能,“构建一个路径从NSC_USER HTTP头没有任何封锁”,将引发的任何脚本,该脚本调用函数。雪莉发现几乎所有的脚本使用这个功能”,但强调了一个脚本,newbm.pl。这个文件接受参数化信息,构建成一个数组脆弱的主机上存储在一个XML文件。然而,代码执行还不可行。这就是年轻的研究。他提到了一个非法的特性Perl Template Toolkit“允许任意命令执行时处理的指令。”雪莉认为这是一个“潜在大道剥削。“通过将任意代码插入到XML文件,剩下的唯一获得代码执行步是模板引擎来解析文件。雪莉取得这通过发行一个精雕细琢的HTTP请求XML文件存储在脆弱的主机。
所有的安全研究人员选择不共享具体细节的漏洞由于Citrix尚未公布这个漏洞的补丁。然而,1月10日,有利用流通中的脚本可以实现代码的执行。
概念验证
最近,有几个存储库在GitHub上创建引用cve - 2019 - 19781,包括利用脚本,可能导致远程代码执行,未经身份验证的攻击者。
解决方案
而Citrix提供了详细的缓解措施,目前,没有补丁可以尽管咨询近一个月前发布。对这个漏洞利用脚本的可用性,用户强烈建议应用这些尽快缓解措施。此外,我们建议审查你的日志请求以确定主动扫描或剥削可能已经发生。这些请求可能包含路径,例如:
- / vpn /
- / vpn / . . / vpn / cfg / conf中的
- / vpn / . . / vpn / portal /脚本/ newbm.pl
确定影响系统
站得住脚的研究已经发布了一个直接检查插件ID132752年)来识别脆弱的资产除了我们的版本检查插件ID(132397),可以发现在这里。注意检查插件的版本(ID 132397)需要启用“偏执模式”。
获得更多的信息
- Citrix安全顾问cve - 2019 - 19781 (CTX267027)
- Citrix缓解步骤cve - 2019 - 19781 (CTX267679)
- cve - 2019年12月成立之前的通知- 19781
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。