Zdroj: Bad Packets
Ešte na konci minulého roka sa objavila kritická chyba v Citrix Application Delivery Controller (ADC) a Citrix Gateway (NetScaler Gateway) zariadeniach. Chyba dostala označenie CVE-2019-19781 (CVSS score: 9.8). Táto chyba umožňuje neprihlásenému útočníkovi vykonávať príkazy na cieľovom zariadení. Používanie 2FA autentifikácie nezastaví zneužitie tejto chyby.
Bad Packets za pomoci dát zo služby BinaryEdge identifikovalo 25.121 zraniteľných zariadení. Z tohto počtu je 79 zraniteľných zariadení v Česku a 8 na Slovensku. Celosvetovo je najviac postihnutých zariadení v USA, Nemecku a Británii. Medzi postihnutými organizáciami sú vojenské, vládne a mestské organizácie, univerzity a školy, nemocnice, distribútori elektriny, banky a Fortune 500 firmy.
Firma Citrix nemá zatiaľ patch a uverejnila len postup ako dočasne zabrániť zneužitiu chyby. Zároveň oznámila, že prvý patch sa objaví najskôr 20.1.2020 a pre ďalšie verzie na konci januára. Takisto na použitie postupu je nutný responder, ktorý podľa informácii od ľudí na internete nemá každá inštalácia Citrix. Podpora Citrix to rieši dočasnými licenciami.
Celej situácii nepomohlo, že Project Zero India v piatok uverejnil PoC kód, ktorý sa dá použiť na zneužitie chyby. Následne uverejnila svoj kód aj firma TrustedSec a uverejnila aj postup ako zistiť či už niekto zneužil túto chybu na vašom zariadení. Skenovanie zraniteľných zariadení začalo už skôr, ale vzhľadom na uverejnenie PoC kódu sa cez víkend rozbehlo aj zneužívanie tejto chyby.
Ďalšia dôležitá informácia je, že Citrix virtuálne zariadenia poskytované Citrixom na Amazon a Azure cloude sú tiež zraniteľné. Ak máte exponovaný manažment port či už externe alebo interne, tak horeuvedený postup od Citrixu nie je účinný. Na záver prajem všetkým adminom Citrix zariadení veľa šťastia a pevné nervy. Nie je to príjemná situácia ak patch ešte nie je prístupný a kód na zneužitie už koluje po internete.
Obrázok: Bad Packets
