DHS CISA đã phát hành một công cụ phạm vi công cộng được thiết kế để giúp nhân viên an ninh kiểm tra xem các tổ chức của họ có dễ bị tấn công liên tục có thể nhắm vào lỗ hổng bảo mật CVE-2019-19781 ảnh hưởng đến Bộ điều khiển phân phối ứng dụng Citrix (NetScaler ADC) và Cổng Citrix (Cổng NetScaler) các sản phẩm.
“Cơ quan an ninh cơ sở hạ tầng và an ninh mạng (CISA) đã phát hành một tiện ích cho phép người dùng và quản trị viên kiểm tra xem phần mềm Bộ điều khiển phân phối ứng dụng Citrix (ADC) và phần mềm Citrix Gateway của họ có dễ bị tổn thương CVE-2019-19781 hay không”.
CISA cũng khuyến nghị tất cả các tổ chức xem xét lưu ý về lỗ hổng CERT / CC, U # 619785 và bản tin bảo mật Citrix CTX267027 để áp dụng các biện pháp giảm thiểu được mô tả cho đến khi các phiên bản mới của phần mềm sẽ được phát hành.
Theo bản tin CTX267027, Citrix sẽ phát hành phiên bản Citrix ADC và Citrix Gateway mới để vá lỗ hổng CVE-2019-19781 bắt đầu từ ngày 20 tháng 1 năm 2020.
Phần mềm Citrix ADC và Gateway của bạn có dễ bị CVE-2019-19781 không? Ghé thăm CISA để tìm hiểu làm thế nào để kiểm tra nó. https://t.co/rCjID6gjpL
– US-CERT (@USCERT_gov), ngày 13/01/2020
Kẻ tấn công đang thăm dò, khai thác đã có sẵn
Lỗ hổng này giúp những kẻ tấn công không được xác thực có thể thực hiện thực thi mã tùy ý thông qua thư mục nếu được khai thác thành công.
Một số khai thác bằng chứng khái niệm (PoC) hoạt động cho lỗ hổng CVE-2019-19781 đã được công khai (chúng tôi sẽ không liên kết với chúng vì nhiều lý do rõ ràng) từ nhiều địa điểm.
Khai thác PoC cho phép kẻ tấn công tạo ra các vỏ ngược trở lại máy của họ và thực thi các lệnh độc hại trên các thiết bị bị xâm nhập, cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn các máy.
Hai ngày trước, chúng tôi đã báo cáo về các lần quét liên tục đối với các máy chủ Citrix dễ bị tổn thương sau các cảnh báo đến từ các nhà nghiên cứu bảo mật, cùng với cảnh báo bổ sung rằng việc khai thác sắp xảy ra và quản trị viên phải áp dụng các biện pháp giảm thiểu càng sớm càng tốt.
Chúng tôi vừa công bố thêm thông tin xung quanh lỗ hổng Citrix ADC / Gateway với ngày phát hành sửa lỗi. Nếu tôi có thể đề xuất một cái gì đó, hãy áp dụng ASAP giảm thiểu nếu bạn có IP quản lý bị lộ và không được bảo vệ tường lửa. Nó dừng cuộc tấn công vào các kịch bản dễ bị tổn thương đã biết. https://t.co/CnuHKKA8Dk
– Fermin J. Serna (@fjserna), ngày 12/01/2020
Một kỹ thuật lặn sâu cho lỗ hổng này đã được xuất bản bởi trang phục bảo mật MDSec, cung cấp một bản demo về cách sử dụng PoC hoạt động.
TrustedSec cũng cung cấp một hướng dẫn có thể được theo dõi để kiểm tra các thiết bị của bạn để tìm bằng chứng về sự thỏa hiệp, với các quản trị viên Citrix ADC được khuyên nên giám sát các thiết bị của họ để biết các cuộc tấn công.
Ngoài ra, Florian Roth của Nextron Systems đã cung cấp các quy tắc phát hiện Sigma cho các hệ thống SIEM để phát hiện các nỗ lực khai thác CVE-2019-19781 trên các thiết bị Citrix ADC (NetScaler) và Citrix Gateway.
Cuối cùng, một danh sách các ngày ước tính sẽ vá các lỗ hổng cho Bộ điều khiển phân phối ứng dụng Citrix (ADC) và lỗ hổng Citrix Gateway CVE-2019-19781 sẽ được công bố dưới đây.
Version
Refresh Build
Expected Release Date
10.5
10.5.70.x
31st January 2020
11.1
11.1.63.x
20th January 2020
12.0
12.0.63.x
20th January 2020
12.1
12.1.55.x
27th January 2020
13.0
13.0.47.x
27th January 2020
Nguồn BleepingComputer
Khóa học Chuyên Viên Quản Trị Mạng Nâng Cao – ANAT
