Коротко об уязвимости
Эксперт Positive Technologies Михаил Ключников обнаружил критическую уязвимость в Citrix Application Delivery Controller¹ (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.
Данной уязвимости подвержены все поддерживаемые версии продукта и все поддерживаемые платформы, в том числе Citrix ADC и Citrix Gateway версии 13.0, Citrix ADC и NetScaler Gateway версии 12.1, Citrix ADC и NetScaler Gateway версии 12.0, Citrix ADC и NetScaler Gateway версии 11.1, а также Citrix NetScaler ADC и NetScaler Gateway версии 10.5.
Уязвимость позволяет злоумышленнику получить полный контроль над атакуемой системой и продвинуться внутрь сети вашей компании. Сохраняется вероятность того, что ваши системы уже были скомпрометированы с использованием данной уязвимости.
Распространение уязвимости
Эксперты Positive Technologies установили, что потенциально уязвимы не менее 80 000 компаний из 158 стран.
Россия находится на 26-м месте рейтинга по общему числу потенциально уязвимых компаний различных секторов бизнеса — всего более 300 организаций, в том числе входящих в список крупнейших компаний России по версии РБК.
Что делать?
До выхода и применения официального патча на ваших системах Citrix NetScaler мы рекомендуем:
- Проверить наличие уязвимости можно отправив запрос серверу: GET /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
Если узел уязвим, ответ будет таким:
<title> Citrix Access Gateway: Error <title>
Для обнаружения атаки рекомендуем отслеживать запросы вида:
POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1 - Применить рекомендации Citrix по настройкам системы Citrix NetScaler для предотвращения эксплуатации уязвимости: https://support.citrix.com/article/CTX267679
- Отфильтровать или полностью прекратить доступ к системам Citrix NetScaler со стороны сети Интернет.
- Если у вас используется межсетевой экран уровня приложений PT Application Firewall, то для блокировки возможной атаки систему следует перевести в режим блокировки опасных запросов для защиты в реальном времени.
- Если используется система анализа трафика PT Network Attack Discovery, можно детектировать попытки эксплуатации данной уязвимости в режиме онлайн, воспользовавшись специальными правилами:
Развитие событий
4 декабря 2019 г.
Специалисты Positive Technologies обнаружили критическую уязвимость в системах Citrix Application Delivery Controller (ADC), ранее известном как NetScaler ADС, и Citrix Gateway, ранее известном как NetScaler Gateway, и уведомили о ней Citrix.
17 декабря 2019 г.
Citrix выпустил бюллетень по безопасности CTX267027 : уязвимость в Citrix Application Delivery Controller (ADC), ранее известном как NetScaler ADC, и Citrix Gateway, ранее известном как NetScaler Gateway, которая может привести к выполнению произвольного кода.
Выявленной уязвимости присвоен CVE-2019-19781.
Citrix выпустил рекомендации по настройкам системы Citrix NetScaler, нацеленные на предотвращение эксплуатации.
17 декабря 2019 г.
Правила обнаружения этой атаки добавлены в базу знаний PT Application Firewall
18 декабря 2019 г.
В PT Network Attack Discovery внесены специальные правила, детектирующие попытки эксплуатации данной уязвимости в режиме онлайн.
19 декабря 2019 г.
Positive Technologies выпустила официальное сообщение с рекомендациями по выявлению атаки и защите.
12 января 2020 г.
На сервисе GitHub был обнаружен рабочий экслойт под ранее обнаруженную уязвимость CVE2019-19781 в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway)
15 января 2020 г.
Эксперты Positive Technologies фиксируют волну массовых сканирований cети Интернет с целью поиска данной уязвимости и ее эксплуатации
19 января 2020 г.
Выпущено обновление для систем Citrix ADC и Citrix Gateway версий 11,1 и 12,0
22 января 2020 г.
Выпущено обновление для Citrix SD-WAN WANOP версии 10.2.6 и Citrix SD-WAN WANOP версии 11.0.3
23 января 2020 г.
Выпущено обновление для систем Citrix ADC и Citrix Gateway версий 13,0 и 12,1
24 января 2020 г.
Выпущено обновление для систем Citrix ADC и Citrix Gateway версии 10,5
7 февраля 2020 г.
Мониторинг актуальных угроз (threat intelligence) компании Positive Technologies показал, что каждая пятая компания мира все еще потенциально уязвима.
- Citrix ADC — программно-ориентированное решение для доставки приложений и балансировки нагрузки, специально разработанное, чтобы повысить скорость работы традиционных, облачных и веб-приложений, независимо от того, где они размещены. Аналитики Stratistics MRC ожидают, что мировой рынок контроллеров доставки приложений такого типа вырастет на 6,8% и достигнет почти 5 млрд $ (4,98 млрд $) к 2023 году. По мнению аналитиков, наибольшее распространение такие контроллеры уже получили в ИТ- и телеком-отраслях. К 2023 году спрос на ADC вырастет у банков, финансовых и страховых компаний.
