Οι hackers εκτελούν σαρώσεις για να βρουν τους Citrix servers ευάλωτους σε ένα κρίσιμο σφάλμα ασφαλείας στα προϊόντα ADC και Gateway, προειδοποίησαν ερευνητές.
Δημοσιεύθηκε τον Δεκέμβριο, η σοβαρή ευπάθεια, που αναφέρεται ως CVE-2019-19781, επηρεάζει τον Citrix Application Delivery Controller (ADC) – επίσης γνωστό ως NetScaler ADC – μαζί με το Citrix Gateway, παλαιότερα γνωστό ως NetScaler Gateway. Αρχικά ανέφερε ο Mikhail Klyuchnikov από την Positive Technologies, η κρίσιμη ευπάθεια επιτρέπει την μετάβαση σε καταλόγους και, αν γίνει εκμετάλλευση, επιτρέπει στους φορείς απειλής να διεξάγουν επιθέσεις απομακρυσμένου κώδικα (RCE).
Σύμφωνα με το security advisory της Citrix, τα προϊόντα αυτά επηρεάζονται:
- Citrix ADC and Citrix Gateway version 13.0 όλα τα υποστηριζόμενα builds
- Citrix ADC and NetScaler Gateway version 12.1 όλα τα υποστηριζόμενα builds
- Citrix ADC and NetScaler Gateway version 12.0 όλα τα υποστηριζόμενα builds
- Citrix ADC and NetScaler Gateway version 11.1 όλα τα υποστηριζόμενα builds
- Citrix NetScaler ADC and NetScaler Gateway version 10.5 όλα τα υποστηριζόμενα builds
Οι ερευνητές εκτιμούν ότι τουλάχιστον 80.000 οργανισμοί σε 158 χώρες είναι χρήστες του ADC και, ως εκ τούτου, θα μπορούσαν να διατρέξουν κίνδυνο. Οι εταιρείες στη γραμμή κινδύνου βασίζονται κυρίως στις ΗΠΑ – περίπου 38% – καθώς και στο Ηνωμένο Βασίλειο, τη Γερμανία, τις Κάτω Χώρες και την Αυστραλία.
“Ανάλογα με τις συγκεκριμένες παραμέτρους, οι εφαρμογές Citrix μπορούν να χρησιμοποιηθούν για τη σύνδεση με workstations και κρίσιμα επιχειρηματικά συστήματα (συμπεριλαμβανομένου του ERP),” λέει η εταιρεία Positive Technologies. “Σε όλες σχεδόν τις περιπτώσεις, οι εφαρμογές Citrix είναι προσβάσιμες στην περίμετρο του δικτύου της εταιρείας και ως εκ τούτου είναι οι πρώτες στις οποίες θα επιτεθούν. Αυτή η ευπάθεια επιτρέπει σε κάθε μη εξουσιοδοτημένο εισβολέα όχι μόνο να έχει πρόσβαση σε δημοσιευμένες εφαρμογές, αλλά και να επιτίθεται σε άλλους πόρους του εσωτερικού δικτύου του Citrix server. ”
Όπως αναφέρει το Bleeping Computer, οι ερευνητές στον τομέα της ασφάλειας στον κυβερνοχώρο έχουν εντοπίσει μια ακίδα στα scans για servers Citrix που είναι πιθανώς ευάλωτοι στο σφάλμα.
Δεν φαίνεται να χρησιμοποιείται ευρέως κάποιος κώδικας δημόσιας εκμετάλλευσης – τουλάχιστον, όχι ακόμη. Ο κοσμήτορας της έρευνας, Johannes Ullrich του Ινστιτούτου Τεχνολογίας SANS, , σημείωσε στους δικούς του ελέγχους ότι οι τρέχουσες σαρώσεις δεν φαίνονται να είναι “πολύπλοκες” με οποιονδήποτε τρόπο – μερικές από τις οποίες δεν υπερβαίνουν τα αιτήματα GET – αλλά πρόσθεσε ότι “άλλες πηγές που θεωρώ αξιόπιστες έχουν δηλώσει ότι ήταν σε θέση να δημιουργήσουν εκμετάλλευση εκτέλεσης κώδικα. ”
Μια ενημερωμένη έκδοση κώδικα δεν έχει κυκλοφορήσει ακόμη για το ζήτημα, αλλά η Citrix δημοσίευσε εν τω μεταξύ κατευθυντήριες γραμμές για τον χειρισμό της κατάστασης. Η εταιρεία συστήνει στους IT admins να εκτελέσουν ένα σύνολο εντολών, προσβάσιμων εδώ, για να προσαρμόσουν τις πολιτικές απόκρισης.
“Η Citrix παροτρύνει θερμά τους πελάτες να εφαρμόσουν άμεσα το παρεχόμενο μέτρο. Οι πελάτες θα πρέπει στη συνέχεια να αναβαθμίσουν όλες τις ευάλωτες συσκευές τους σε μια σταθερή έκδοση του firmware της συσκευής όταν κυκλοφορήσει”, λέει.
