Khai thác PoC được phát hành cho lỗ hổng Citrix ADC và Gateway RCE

https://1.bp.blogspot.com/-_9-nocA92TI/XhmeU1ZwSqI/AAAAAAAA2KQ/m0YexAlFrVQzvw1H2fYT8uoiFY33g82DQCLcBGAsYHQ/s728-e100/citrix-adc-gateway-vulnerability.jpg

Bây giờ hoặc không bao giờ ngăn máy chủ doanh nghiệp của bạn chạy các phiên bản dễ bị tổn thương của phân phối ứng dụng Citrix, cân bằng tải và các giải pháp Gateway khỏi bị tấn công bởi những kẻ tấn công từ xa.

Vì sao cấp bách? Đầu ngày hôm nay, nhiều nhóm đã phát hành công khai mã khai thác bằng chứng khái niệm vũ khí hóa [1, 2] cho một lỗ hổng thực thi mã từ xa được tiết lộ gần đây trong các sản phẩm NetScaler ADC và Gateway của Citrix có thể cho phép mọi người tận dụng chúng để kiểm soát hoàn toàn các mục tiêu doanh nghiệp tiềm năng .

Ngay trước kỳ nghỉ Giáng sinh và cuối năm vừa qua, Citrix đã thông báo rằng Bộ điều khiển phân phối ứng dụng Citrix (ADC) và Cổng Citrix dễ bị lỗ hổng đường dẫn quan trọng (CVE-2019-19781) có thể cho phép kẻ tấn công không được xác thực thực hiện mã tùy ý thực hiện trên các máy chủ dễ bị tổn thương.

  • Citrix ADC và Citrix Gateway version 13.0 tất cả các bản được hỗ trợ.
  • Citrix ADC và NetScaler Gateway version 12.1 tất cả các bản được hỗ trợ.
  • Citrix ADC và NetScaler Gateway version 12.0 tất cả các bản được hỗ trợ.
  • Citrix ADC và NetScaler Gateway version 11.1 tất cả các bản được hỗ trợ.
  • Citrix NetScaler ADC và NetScaler Gateway version 10.5 tất cả các bản được hỗ trợ.

Công ty đã tiết lộ mà không phát hành bất kỳ bản vá bảo mật nào cho phần mềm dễ bị tấn công; thay vào đó, Citrix đưa ra biện pháp giảm thiểu để giúp các quản trị viên bảo vệ máy chủ của họ trước các cuộc tấn công từ xa tiềm năng⁠ và ngay cả tại thời điểm viết bài, không có bản vá nào có sẵn gần 23 ngày sau khi tiết lộ.

Thông qua các cuộc tấn công mạng chống lại các máy chủ dễ bị tấn công lần đầu tiên xuất hiện vào tuần trước khi tin tặc phát triển khai thác riêng sau thông tin giảm thiểu kỹ thuật đảo ngược, việc phát hành công khai vũ khí PoC giờ đây sẽ giúp các kiddies có tay nghề thấp tung ra các cuộc tấn công mạng chống lại các tổ chức dễ bị tấn công.

Theo Shodan, tại thời điểm viết bài, có hơn 125.400 máy chủ Citrix ADC hoặc Gateway có thể truy cập công khai và có thể được khai thác qua đêm nếu không được ngoại tuyến hoặc được bảo vệ bằng cách sử dụng giảm thiểu có sẵn.

Trong khi thảo luận về các chi tiết kỹ thuật của lỗ hổng trong một bài đăng trên blog được xuất bản ngày hôm qua, MDSsec cũng đã phát hành một video trình diễn về khai thác mà họ đã phát triển nhưng chọn không phát hành nó vào lúc này.

Bên cạnh việc áp dụng giảm thiểu được khuyến nghị, các quản trị viên Citrix ADC cũng được khuyên nên theo dõi nhật ký thiết bị của họ để biết các cuộc tấn công.

Nguồn The Hacker News

AEH

Khóa học Chuyên Viên An Ninh Mạng – AN2S