„Shitrix“: Advisory Exploit-Code Citrix/NetScaler ADC und Gateway (CVE-2019-19781)

Citrix ruft Kunden dringend dazu auf, die Firmware der relevanten, anfälligen Appliances mit Erscheinen des jeweiligen Release-Updates zu aktualisieren.

CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller and Citrix Gateway

Im Citrix Application Delivery Controller (ADC), ehemals NetScaler ADC, und Citrix Gateway, ehemals NetScaler Gateway, wurde eine Sicherheitslücke festgestellt, die es einem nicht authentifizierten Angreifer ermöglichen kann, beliebigen Code auszuführen (code execution).
Die Sicherheitslücke ist mittlerweile unter dem „Kosenamen“ Shitrix bekannt.

Da mit relativ wenig Aufwand Code aus der Ferne ausgeführt werden kann, häufen sich automatisierte Netzwerk-Scan von pozenziellen Angreifern.

Wir empfehlen somit umgehend zu handeln. Bis zum Erscheinen der dauerhaften Patches bzw. Firmware-Releases sollte der von Citrix beschriebene Workaround angewendet werden:
CTX267679 – Mitigation Steps for CVE-2019-19781

Citrix ADC und Gateway prüfen

CISA CVE-2019-19781-CHECK
Die Cybersecurity and Infrastructure Security Agency (CISA) hat auf ein Tool entwickelt, um zu prüfen, ob ein Host anfällig für CVE-2019-19781 ist:
https://github.com/cisagov/check-cve-2019-19781

Kunden unseres Managed Vulnerability Scan Service werden dabei automatisch informiert und bei Bedarf unterstützt.

Advisory Informationen

Basis:
CTX267027 – CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller and Citrix Gateway

CVSS 3.1

  • Base Score:  9.8 CRITICAL
  • Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Impact Score: 5.9
  • Exploitability Score: 3.9

Betroffene Produkte

  • Citrix ADC and Citrix Gateway version 13.0 all supported builds
  • Citrix ADC and NetScaler Gateway version 12.1 all supported builds
  • Citrix ADC and NetScaler Gateway version 12.0 all supported builds
  • Citrix ADC and NetScaler Gateway version 11.1 all supported builds
  • Citrix NetScaler ADC and NetScaler Gateway version 10.5 all supported builds

Official Fix Timelines

Citrix geht davon aus, dass Firmware-Updates in Form von Refresh-Builds für alle unterstützten Versionen von Citrix ADC und Citrix Gateway vor Ende Januar 2020 verfügbar sein werden. Die voraussichtlichen Veröffentlichungstermine entnehmen Sie bitte der nachstehenden Tabelle.

Version Refresh Build Expected Release Date
10.5 10.5.70.x 31st January 2020
11.1 11.1.63.x 20th January 2020
12.0 12.0.63.x 20th January 2020
12.1 12.1.55.x 27th January 2020
13.0 13.0.47.x 27th January 2020

Angriffsvektor

Template Injection

  • Einfügen eines Templates, welches durch Aufruf die Funktion EVAL_PERL ausführt. Dadurch kann willkürlich Perl Code ausgeführt werden.
  • Einfügen eines Templates, welches das DATAFILE Plugin verwendet. Durch einen unsicheren Funktionsaufruf kann über den Dateinamen Code eingeschleust werden.

Workaround – temporär bis zum Erscheinen der Firmware-Builds

Der folgende Knowledge Base-Artikel enthält die Schritte zum Bereitstellen einer Responder Policy, um das Problem bis zur Veröffentlichung eines dauerhaften Fixes zu lösen bzw. das Risiko zu vermindern: CTX267679 – Schritte zum Reduzieren für CVE-2019-19781

Update, 20.01.2020: Patches früher verfügbar!

Quelle und Zitat heise Online „Jetzt patchen! Erste Sicherheitsupdates für kritische Citrix-Lücke erschienen!

Da Angreifer derzeit eine Lücke in Citrix ADC ausnutzen, sollten Admins die nun verfügbaren Patches umgehend installieren. (…)
Offensichtlich arbeiten die Citrix-Entwickler aufgrund einer als kritisch eingestuften Sicherheitslücke (CVE-2019-19781) in Application Delivery Controller (ADC), Gateway und SD-WAN WANOP Appliance rund um die Uhr: Nun sind früher als angekündigt Sicherheitsupdates erschienen. (…)

Wie einem Blog-Beitrag von Citrix zu entnehmen ist, haben die Entwickler nun erste Sicherheitspatches fertiggestellt und veröffentlicht. Ab sofort kann man von ADC die abgesicherten Versionen 11.1.63.15 und 12.0.63.13 herunterladen.

In dem Beitrag spezifiziert Citrix, für welche Versionen und für welche Fälle die Updates helfen. So sollen sie auch für Gateway Virtual Appliances via beispielsweise Hyper-V oder Azure helfen. Die verbleibenden Sicherheitsupdates für Application Delivery Controller 10.5, 12.1, 13 und SD-WAN WANOP sollen am 24. Januar folgen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *