Các nhà nghiên cứu bảo mật đã quan sát các bản quét đang diễn ra đối với các máy chủ Bộ điều khiển phân phối ứng dụng Citrix (NetScaler ADC) và Citrix Gateway (NetScaler Gateway) dễ bị tấn công khai thác CVE-2019-19781 trong tuần trước.
Lỗ hổng này ảnh hưởng đến nhiều sản phẩm Citrix và nó có khả năng khiến mạng lưới của hơn 80.000 công ty bị tấn công theo báo cáo của Công nghệ Tích cực từ tháng 12.
Như trang phục an ninh nói vào thời điểm đó, “ít nhất 80.000 công ty ở 158 quốc gia có nguy cơ gặp rủi ro”, với 5 quốc gia hàng đầu là “Hoa Kỳ (nhà lãnh đạo tuyệt đối, với hơn 38% các tổ chức dễ bị tổn thương), Vương quốc Anh , Đức, Hà Lan và Úc. ”
“Tùy thuộc vào cấu hình cụ thể, các ứng dụng Citrix có thể được sử dụng để kết nối với các máy trạm và hệ thống kinh doanh quan trọng (bao gồm cả ERP),” Công nghệ Tích cực bổ sung. “Trong hầu hết mọi trường hợp, các ứng dụng Citrix có thể truy cập được trên chu vi mạng của công ty và do đó là ứng dụng đầu tiên bị tấn công.”
Không khai thác công khai
CVE-2019-19781 đi kèm với điểm cơ bản CVSS v3.1 quan trọng 9,8 và nó có thể cho phép những kẻ tấn công không được xác thực thực hiện thực thi mã tùy ý thông qua Directory Traversal nếu được khai thác thành công.
Tuy nhiên, như nhà nghiên cứu bảo mật Kevin Beaumont, người đã chia sẻ thông tin về các bản quét CVE-2019-19781 đang hoạt động trên Twitter cho biết, hiện tại không có sự khai thác nào về vấn đề bảo mật này được quan sát và cho đến nay không có thông tin nào về khai thác.
Trong honeypot Citrix ADC của tôi, CVE-2019-19781 đang bị phát hiện với những kẻ tấn công đọc các tệp cấu hình thông tin nhạy cảm từ xa bằng cách sử dụng ../ thư mục traversal (một biến thể của vấn đề này). Vì vậy, đây là trong tự nhiên, hoạt động khai thác bắt đầu lên. https://t.co/pDZ2lplSBj
– Kevin Beaumont (@GossiTheDog)
Trưởng khoa nghiên cứu của Viện công nghệ Sans, ông Julian B. Ullrich, người đã theo dõi quá trình quét các hệ thống Citrix dễ bị tổn thương trong tuần qua cũng xác nhận rằng không có hoạt động khai thác nào được quan sát và chưa có khai thác công khai nào.
Mặc dù vậy, ông cũng nói thêm rằng các nguồn đáng tin cậy “đã chỉ ra rằng họ có thể tạo ra một khai thác thực thi mã.”
Theo Citrix, CVE-2019-19781 ảnh hưởng đến tất cả các phiên bản và nền tảng sản phẩm được hỗ trợ:
Citrix ADC and Citrix Gateway version 13.0 all supported builds
Citrix ADC and NetScaler Gateway version 12.1 all supported builds
Citrix ADC and NetScaler Gateway version 12.0 all supported builds
Citrix ADC and NetScaler Gateway version 11.1 all supported builds
Citrix NetScaler ADC and NetScaler Gateway version 10.5 all supported builds
Biện pháp giảm thiểu
Mặc dù Citrix chưa phát hành bản vá phần sụn để giải quyết lỗ hổng bảo mật này, công ty đã xuất bản một bộ các biện pháp giảm thiểu cho các hệ thống và cụm độc lập và khuyến nghị mạnh mẽ tất cả các khách hàng bị ảnh hưởng nên áp dụng chúng càng sớm càng tốt.
“Sau đó, khách hàng nên nâng cấp tất cả các thiết bị dễ bị tổn thương của mình lên phiên bản phần mềm cố định của thiết bị khi được phát hành”, Citrix cũng nói.
Để được cảnh báo khi phần mềm cập nhật sẽ có sẵn cho các sản phẩm Citrix bị ảnh hưởng, khách hàng cũng được khuyên nên đăng ký nhận thông báo tại đây.
Next Roth Systems của Nextron Systems cũng cung cấp quy tắc phát hiện Sigma cho các hệ thống SIEM để phát hiện các nỗ lực khai thác CVE-2019-19781 chống lại Citrix Netscaler, Bộ điều khiển phân phối ứng dụng và Tấn công cổng Citrix.
Quy tắc này sẽ kiểm tra yêu cầu web và nếu nó chứa ‘/../vpns/’ hoặc ‘/vpns/cfg/smb.conf’, sẽ ghi nhật ký đó dưới dạng cảnh báo quan trọng.
“Các ứng dụng Citrix được sử dụng rộng rãi trong các mạng công ty. Điều này bao gồm việc sử dụng chúng để cung cấp quyền truy cập thiết bị đầu cuối của nhân viên vào các ứng dụng nội bộ của công ty từ bất kỳ thiết bị nào qua Internet”, Giám đốc Bộ phận Kiểm toán An ninh của Công nghệ Tích cực Dmitry Serebryannikov nói.
“Xem xét rủi ro cao do lỗ hổng được phát hiện và mức độ phổ biến của phần mềm Citrix trong cộng đồng doanh nghiệp, chúng tôi khuyên các chuyên gia bảo mật thông tin thực hiện các bước ngay lập tức để giảm thiểu mối đe dọa.”
