cve - 2019 - 19781:为远程代码执行漏洞利用脚本在Citrix ADC和网关
攻击者是积极探索脆弱Citrix应用程序交付控制器(ADC)和网关主机,同时发布多个概念验证脚本,强调立即减轻这一缺陷的重要性。
背景
12月17日,Citrix发表了一篇支持文章为cve - 2019 - 19781Citrix ADC的路径遍历缺陷和Citrix网关,这两个是原名NetScaler ADC和NetScaler网关。Citrix警告说,成功的开发可能导致一个未经身份验证的远程代码执行攻击者获得。Citrix没有提供一个补丁的漏洞,而是强烈敦促客户应用缓解措施阻止开发尝试。几个星期以来,攻击者已经开始扫描脆弱主机侦察,一些报道认为攻击者可能已经在野外利用这个漏洞。
1月3日,无网络风暴中心(ISC)在推特上,他们已经观察到的“首次利用尝试”漏洞在野外。
刚刚看到的第一个尝试利用Citrix ADC /网关cve - 2019 - 19781打我们从223.167.22.29 honeypot之一。更多的细节。# cve201919781# citrix# netscaler
-无ISC (@sans_isc)2020年1月3日
根据Shodan,超过125000 Citrix ADC或网关主机公开访问。内特Warfield从微软的安全响应中心发现,每个系统他“现场检查”是容易cve - 2019 - 19781。
如果你在你的网络运行Citrix你真的* *需要阅读。一个像样的@shodanhq码头在这里找到系统:https://t.co/YP0yILjXED
(Nate Warfield)——(÷÷)——(@n0x08)2020年1月9日
检查每一个系统,我发现到目前为止脆弱;这将燃烧的人。尽快采取措施来保护自己。https://t.co/hmmfUxfe8f
分析
Citrix提供的信息在他们的减排措施提供线索的脆弱的组件ADC和网关,引用请求包含“/ vpn /”路径。因为这是一个路径遍历缺陷,识别一个脆弱的ADC或网关主机需要确认文件以外的存在原始路径请求。
1月7日无ISC发表一篇博客更多细节关于袭击者扫描“粘蜜罐”,试图利用这一缺陷。在博客,他们引用请求寻找文件conf中的在“/ vpn / cfg /”路径。请求该文件从一个脆弱的Citrix ADC或网关将成功返回一个配置文件。系统应用Citrix建议缓解措施禁止将返回一个HTTP 403响应。
1月8日,克雷格年轻,本金安全研究员Tripwire漏洞和风险研究术语(绿色),发表一篇博客讨论他如何实现“任意命令执行”一个脆弱的ADC主机。年轻,有Perl脚本位于“/ vpn /“路径Citrix的电器,可以针对允许有限的文件写在脆弱的主机上。
1月10日,力拓雪莉,MDSec高级安全顾问发表一篇博客与额外的洞察有限文件写作,强调代码的csd UserPrefs perl模块的功能,“构建一个路径从NSC_USER HTTP头没有任何封锁”,将引发的任何脚本,该脚本调用函数。雪莉发现几乎所有的脚本使用这个功能”,但强调了一个脚本,newbm.pl。这个文件接受参数化信息,构建成一个数组脆弱的主机上存储在一个XML文件。然而,代码执行还不可行。这就是年轻的研究。他提到了一个非法的特性Perl Template Toolkit“允许任意命令执行时处理的指令。”雪莉认为这是一个“潜在大道剥削。“通过将任意代码插入到XML文件,剩下的唯一获得代码执行步是模板引擎来解析文件。雪莉取得这通过发行一个精雕细琢的HTTP请求XML文件存储在脆弱的主机。
所有的安全研究人员选择不共享具体细节的漏洞由于Citrix尚未公布这个漏洞的补丁。然而,1月10日,有利用流通中的脚本可以实现代码的执行。
概念验证
最近,有几个存储库在GitHub上创建引用cve - 2019 - 19781,包括利用脚本,可能导致远程代码执行,未经身份验证的攻击者。
解决方案
而Citrix提供了详细的缓解措施,目前,没有补丁可以尽管咨询近一个月前发布。对这个漏洞利用脚本的可用性,用户强烈建议应用这些尽快缓解措施。此外,我们建议审查你的日志请求以确定主动扫描或剥削可能已经发生。这些请求可能包含路径,例如:
- / vpn /
- / vpn / . . / vpn / cfg / conf中的
- / vpn / . . / vpn / portal /脚本/ newbm.pl
确定影响系统
站得住脚的研究已经发布了一个直接检查插件ID132752年)来识别脆弱的资产除了我们的版本检查插件ID(132397),可以发现在这里。注意检查插件的版本(ID 132397)需要启用“偏执模式”。
获得更多的信息
- Citrix安全顾问cve - 2019 - 19781 (CTX267027)
- Citrix缓解步骤cve - 2019 - 19781 (CTX267679)
- cve - 2019年12月成立之前的通知- 19781
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。
相关文章
成立2023年的夺旗:你准备好测试的黑客技能吗?
2023年7月26日,站得住脚的竞争带来的年度黑客黑帽2023在混合面对面和在线体验,让世界各地的竞争对手有机会获得乐趣和测试他们的技能。
发现罗克韦尔自动化艾伦-布拉德利通信模块受到cve - 2023 - 3595和cve - 2023 - 3596年的环境
2023年7月12日在工业环境中识别脆弱的系统可能很复杂。使用错误的工具,它将忽略影响设备。找出站得住脚的不安全是设计给你深入资产可见性来解决这些新的漏洞在不影响生产力。
微软的130年7月2023个星期二补丁地址cf (cve - 2023 - 36884)
2023年7月11日微软的130年7月2023个星期二补丁地址cf (cve - 2023 - 36884)微软地址130 cf包括5个在野外利用零日漏洞和指导m…
成立网络看:美国政府发布网络安全实施计划,中钢协股票对云安全的免费工具,等等
2023年7月31日本周出版的站得住脚的网络看解包白宫的国家网络安全战略实施计划,并提供新的建议和指导关于生成采用人工智能的执行者。也覆盖:中钢协的股票其字幕新闻提供免费的工具,以帮助确保云环境。
常见问题:SEC新网络安全规则对信息安全意味着领导人
2023年7月28日,7月26日,美国证券交易委员会投票3 - 2采用新规则将要求一些新的网络安全从上市公司披露的信息。Here&rsquo网络安全领导人需要知道的。
网络安全快照:证券交易委员会想要更多网络安全从上市公司透明度
2023年7月28日,找出在美国证券交易委员会(SEC)的新网络安全信息披露规则。另外,中钢协分析了网络风险影响关键基础设施的组织。同时,检查指导的影子和技巧来提高安全意识程序。和更多!
