CVE-2019-19781:CitrixADC和网关见主动开发而补丁仍然缺

Citrix应用控制器和网关关键缺陷发布后攻击者攻击弱主机,Citrix宣布补丁发布日期

更新01/24/20:博客文章更新以反映Citrix发布补丁可用性

Hintergru

开发脚本发布后攻击增加

1月10日可租安全响应观察CVE-2019-1978aCitrixADC和Gate原称NetSACERADC和NetSACER网关向GitHub发布.不久后,有报告显示,对脆弱主机的剥削行为增加

CitrixADCExplioits公共/Host使用#后门)#cve20191981https://t.co/5TN4mfpdThpic.twitter.com/WDN6wUm4Km

SANSISISC 2020年1月11日

SANS网络暴风中心表示, 发布开发脚本已被“重用”,

Citrix更新辅助文章补丁发布日期

1月11日Citrix更新支持文章宣布计划发布补丁 近一月底CitrixADC和网关

千架CitrixADC网关端点仍然脆弱

1月12日特洛伊默尔希,Bad打包首席研究官发布博客统计显示超过25,000CitrixADC和Gate端点容易受CVE-2019-1978Mursch使用二元Edge扫描六万多端点脆弱端点包括政府机构、教育、保健、公共事业、银行和“数大”Fortune500公司中的端点

时时Mursch发现122个以上国家有弱主机,

奎勒:超过25,000Citrix(Netscaler)端点易受CVE-2019-1981

攻击者可获取LDAP密码和脆弱宿主cookies

1月13日NCC集团首席安全顾问Rich Warren为攻击者确定更多利用渠道,攻击弱ADC和Gatebel主机华伦表示攻击者有读能力/flash/nsconfig/ns.confhashed主动目录/Light重量目录存取协议证书,包括SHA512密码哈希卡特.

CVE-2019-1978年开发后注解

e/flash/nsfig/ns.conf文件显示攻击者时,需要修改所有密码SHA512密码很容易用hashcat破解pic.twitter.com/mNMaTT1oCE

富人Warren 2020年1月13日

华伦还指出攻击者可以从路径访问经认证cookie"/var/stmp/sess_*"华伦表示攻击者可复用

if you see攻击者读/var/nstmp/sess

富人Warren 2020年1月13日

1月14日安全研究员Dozer发布博客详细描述人们如何解密从Citrix配置文件获取的值,同时提供 Python脚本执行解密

同一天hashcat支持破解SHA512hashes取自CitrixNetscaler6.0.0版

支持Citrix网络标量器(SHA512)hashes使用hashcat6.0https://t.co/OtKRrGuzX4pic.twitter.com/Qr9nc2Avy4

hashcat (@hashcat) 2020年1月14日

荷兰网络安全中心建议关机ADC网关服务器

1月14日荷兰国家网络安全中心警告多荷兰Citrix服务器脆弱攻击一月十六日发布后续表示Citrix建议的措施并非总有效缓解步骤似乎不为某些设备工作

翻番 NCC强调,在补丁提供前,“目前CitrixADC和Citrix网关服务器都无良好可靠解决方案 ” 。 结果NCC建议考虑“切换CitrixADC和Gateber服务器 ”, 前提是效果可以接受若非如此,则建议密切监控“可能的滥用行为”。

维稳应用易损ADC和网关主机维护后门

1月16日FireEye研究发布博客关于奇特观察开发图 弱ADC和网关主机FireEye表示, 发现威胁作用者阻塞尝试利用漏洞, 清理前受感染主机的恶意软件感染, 并同时部署自己的后门称NOTOBIN

博客提到, 一次接战中FireEye观察到多重威胁行为方成功攻击弱宿主Ontrobin安装后发现“十多起开发尝试被NOtrobin挫败。”

Proof-of-Concept

GitHub上目前有几个开发脚本可用可信安全,ProjectZeroIndia并mpgn和脚本检查易损主机网络安全基础设施安全局CISA系统

重整安比特

自开发脚本发布以来 Citrix更新支持文章多次提供补丁时间表,并额外信息新受影响的产品和ADC某些发布中窃听并影响缓解步骤

Citrix调查后表示CVE-2019-1981还影响CitrixSDWAN部署, 特别是CitrixSDWANOP

Citrix除新受影响的产品外,还发现CitrixADC+GateCitrix显示12.1版本建于51.16/51.19和50.31前装有窃听器,它“影响响应器重写受VPN虚拟服务器约束的政策 ” 。 如果包匹配策略规则,bug将防止这些系统处理包向那些在51.16/51.19或50.31前运行12.1楼的客户建议更新为新楼,以便应用缓解步骤直到补丁于1月27日发布

洛松市

博客发布时尚缺补丁Citrix表示计划到2020年1月底发布CitrixADC网关SD-WANOP补丁

下表包含CitrixADC网关预期发布日期

Produkt	版本化	刷新构建	发布日期
CitrixADC网关	11.1	111.63.15	2020年1月19日
CitrixADC网关	12.0	12.0.63.13	2020年1月19日
CitrixADC网关	12.1	12.1.55.18	2020年1月23日
CitrixADC网关	13.0	13.0.47.24	2020年1月23日
CitrixADC网关	10.5	10.5.70.x	2020年1月24日

单列下表包含CitrixSD-WANOPNetSergier发布日期:

Produkt	版本化	网标发布器	发布日期
CitrixSD广域网	10.2.6b	11.51.615	2020年1月22日
CitrixSD广域网	11.0.3b	11.51.615	2020年1月22日

idifizierenbetrofferner系统

可租制研究发布直接检查插件132752识别脆弱资产除版本检验插件外(ID 132397),该插件可以查找来.注意版本检查插件(ID 132397)需要赋能疑似模式.

微信

• 可租前CVE2019-1978
• Citrix发布优先补丁-加速时间
• Citrix发布第二补丁-时间线进一步加速
• Citrix安全咨询CVE-2019-1978
• CitrixCVE-2019-1981(CTX267679)
• Dozer博客解密ADC和网关配置
• FireEye博客威胁演算器NOTROBIN开发CVE-2019-1981

弗福根死贝特拉赫安全响应队vonTenable德可租社区

ErfahrenSiemehrhuber可租性死前网络接触平台死前genzheitliche Verwaltung

浩然西英kostenoless 30-tägige测试反转vonable.io漏洞管理