Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Grave Vulnerabilità 0-Day su Citrix NetScaler e ADC

citrix  remote code execution   lunedì, 13 gennaio 2020

È stata recentemente individuata una grave vulnerabilità zero-day (CVE-2019-19781) nei prodotti Citrix NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway, tra le principali soluzioni tecnologiche adottate in contesti enterprise per la gestione, il bilanciamento e la fruibilità delle applicazioni aziendali.

Come segnalato al CERT Nazionale dalla società Yoroi, la problematica è legata a lacune nella gestione delle richieste HTTP client da parte delle interfacce Web degli applicativi in questione, che rendono possibile ad un attaccante remoto di eseguire comandi arbitrari all’interno del sistema, installare backdoor e malware senza alcuna necessità di autenticazione.

Shodan screenshot 12-1-2020

Potenziale esposizione di apparati Citrix NetScaler in Italia (Fonte: ShodanHQ)

Il Produttore ha confermato la problematica e pianificato il rilascio di aggiornamenti firmware a partire dal 20 gennaio 2020 per tutte le build supportate dei seguenti prodotti:

  • Citrix ADC e Citrix Gateway versione 13.0
  • Citrix ADC e NetScaler Gateway versione 12.1
  • Citrix ADC e NetScaler Gateway versione 12.0
  • Citrix ADC e NetScaler Gateway versione 11.1
  • Citrix NetScaler ADC e NetScaler Gateway versione 10.5

Sono inoltre disponibili soluzioni di mitigazione temporanee da adottare in attesa del rilascio delle patch di sicurezza ufficiali. Nella fattispecie sono disponibili variazioni alle configurazioni e policy volte ad inibire lo sfruttamento della vulnerabilità per installazioni in modalità “Standalone”, “High Availability” e “Cluster”.

Per via della possibile esposizione su Internet delle tecnologie vulnerabili, della disponibilità di dettagli tecnici e strumenti di attacco volti a sfruttare la problematica e della presenza di tentativi di attacco in corso, si raccomanda di applicare con urgenza le mitigazioni proposte dal Produttore e di pianificare l’installazione degli aggiornamenti del firmware previsti.  

Si consiglia inoltre di effettuare controlli ed investigazioni precauzionali all’interno dei log degli apparati Citrix NetScaler e ADC, nella fattispecie nei file “httpaccess.log” e “httperror.log” (ricercando richieste similari a “POST /vpn/../vpns/portal/scripts/newbm.pl”), nei file “bash.log”, controllando la presenza di comandi lanciati inusualmente (ad es., “curl”, “uname”, “whoami”) e di verificare l’eventuale presenza di processi anomali lanciati dai servizi Web.

Per maggiori informazioni su questa vulnerabilità, sui prodotti affetti, sugli aggiornamenti disponibili e sulle soluzioni di mitigazione, si consiglia di consultare i seguenti bollettini di sicurezza di Citrix (in Inglese):

Notizie correlate

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (gennaio 2020)

10 gennaio 2020

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto

Aggiornamento di sicurezza Android (gennaio 2020)

7 gennaio 2020

Google ha rilasciato l'aggiornamento di sicurezza di gennaio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto