CVE-2019-19781:CitrixADC和网关见主动开发而补丁仍然缺
![](http://www.yyueer.com/de/sites/default/files/images/articles/TenableResearch.jpg)
Citrix应用控制器和网关关键缺陷发布后攻击者攻击弱主机,Citrix宣布补丁发布日期
更新01/24/20:博客文章更新以反映Citrix发布补丁可用性
Hintergru
开发脚本发布后攻击增加
1月10日可租安全响应观察CVE-2019-1978aCitrixADC和Gate原称NetSACERADC和NetSACER网关向GitHub发布.不久后,有报告显示,对脆弱主机的剥削行为增加
CitrixADCExplioits公共/Host使用#后门)#cve20191981https://t.co/5TN4mfpdThpic.twitter.com/WDN6wUm4Km
SANSISISC 2020年1月11日
SANS网络暴风中心表示, 发布开发脚本已被“重用”,
Citrix更新辅助文章补丁发布日期
1月11日Citrix更新支持文章宣布计划发布补丁 近一月底CitrixADC和网关
千架CitrixADC网关端点仍然脆弱
1月12日特洛伊默尔希,Bad打包首席研究官发布博客统计显示超过25,000CitrixADC和Gate端点容易受CVE-2019-1978Mursch使用二元Edge扫描六万多端点脆弱端点包括政府机构、教育、保健、公共事业、银行和“数大”Fortune500公司中的端点
时时Mursch发现122个以上国家有弱主机,
奎勒:超过25,000Citrix(Netscaler)端点易受CVE-2019-1981
攻击者可获取LDAP密码和脆弱宿主cookies
1月13日NCC集团首席安全顾问Rich Warren为攻击者确定更多利用渠道,攻击弱ADC和Gatebel主机华伦表示攻击者有读能力/flash/nsconfig/ns.confhashed主动目录/Light重量目录存取协议证书,包括SHA512密码哈希卡特.
CVE-2019-1978年开发后注解
富人Warren 2020年1月13日
e/flash/nsfig/ns.conf文件显示攻击者时,需要修改所有密码SHA512密码很容易用hashcat破解pic.twitter.com/mNMaTT1oCE
华伦还指出攻击者可以从路径访问经认证cookie"/var/stmp/sess_*"华伦表示攻击者可复用
if you see攻击者读/var/nstmp/sess
富人Warren 2020年1月13日
1月14日安全研究员Dozer发布博客详细描述人们如何解密从Citrix配置文件获取的值,同时提供 Python脚本执行解密
同一天hashcat支持破解SHA512hashes取自CitrixNetscaler6.0.0版
支持Citrix网络标量器(SHA512)hashes使用hashcat6.0https://t.co/OtKRrGuzX4pic.twitter.com/Qr9nc2Avy4
hashcat (@hashcat) 2020年1月14日
荷兰网络安全中心建议关机ADC网关服务器
1月14日荷兰国家网络安全中心警告多荷兰Citrix服务器脆弱攻击一月十六日发布后续表示Citrix建议的措施并非总有效缓解步骤似乎不为某些设备工作
翻番 NCC强调,在补丁提供前,“目前CitrixADC和Citrix网关服务器都无良好可靠解决方案 ” 。 结果NCC建议考虑“切换CitrixADC和Gateber服务器 ”, 前提是效果可以接受若非如此,则建议密切监控“可能的滥用行为”。
维稳应用易损ADC和网关主机维护后门
1月16日FireEye研究发布博客关于奇特观察开发图 弱ADC和网关主机FireEye表示, 发现威胁作用者阻塞尝试利用漏洞, 清理前受感染主机的恶意软件感染, 并同时部署自己的后门称NOTOBIN
博客提到, 一次接战中FireEye观察到多重威胁行为方成功攻击弱宿主Ontrobin安装后发现“十多起开发尝试被NOtrobin挫败。”
Proof-of-Concept
GitHub上目前有几个开发脚本可用可信安全,ProjectZeroIndia并mpgn和脚本检查易损主机网络安全基础设施安全局CISA系统
重整安比特
自开发脚本发布以来 Citrix更新支持文章多次提供补丁时间表,并额外信息新受影响的产品和ADC某些发布中窃听并影响缓解步骤
Citrix调查后表示CVE-2019-1981还影响CitrixSDWAN部署, 特别是CitrixSDWANOP
Citrix除新受影响的产品外,还发现CitrixADC+GateCitrix显示12.1版本建于51.16/51.19和50.31前装有窃听器,它“影响响应器重写受VPN虚拟服务器约束的政策 ” 。 如果包匹配策略规则,bug将防止这些系统处理包向那些在51.16/51.19或50.31前运行12.1楼的客户建议更新为新楼,以便应用缓解步骤直到补丁于1月27日发布
洛松市
博客发布时尚缺补丁Citrix表示计划到2020年1月底发布CitrixADC网关SD-WANOP补丁
下表包含CitrixADC网关预期发布日期
Produkt | 版本化 | 刷新构建 | 发布日期 |
---|---|---|---|
CitrixADC网关 | 11.1 | 111.63.15 | 2020年1月19日 |
CitrixADC网关 | 12.0 | 12.0.63.13 | 2020年1月19日 |
CitrixADC网关 | 12.1 | 12.1.55.18 | 2020年1月23日 |
CitrixADC网关 | 13.0 | 13.0.47.24 | 2020年1月23日 |
CitrixADC网关 | 10.5 | 10.5.70.x | 2020年1月24日 |
单列下表包含CitrixSD-WANOPNetSergier发布日期:
Produkt | 版本化 | 网标发布器 | 发布日期 |
---|---|---|---|
CitrixSD广域网 | 10.2.6b | 11.51.615 | 2020年1月22日 |
CitrixSD广域网 | 11.0.3b | 11.51.615 | 2020年1月22日 |
idifizierenbetrofferner系统
可租制研究发布直接检查插件132752识别脆弱资产除版本检验插件外(ID 132397),该插件可以查找来.注意版本检查插件(ID 132397)需要赋能疑似模式.
微信
- 可租前CVE2019-1978
- Citrix发布优先补丁-加速时间
- Citrix发布第二补丁-时间线进一步加速
- Citrix安全咨询CVE-2019-1978
- CitrixCVE-2019-1981(CTX267679)
- Dozer博客解密ADC和网关配置
- FireEye博客威胁演算器NOTROBIN开发CVE-2019-1981
弗福根死贝特拉赫安全响应队vonTenable德可租社区
ErfahrenSiemehrhuber可租性死前网络接触平台死前genzheitliche Verwaltung
浩然西英kostenoless 30-tägige测试反转vonable.io漏洞管理
维万特Artikel
- Schwachstellen-Management