PoC exploits liberados para vulnerabilidad de ejecución de código remoto en Citrix ADC y Gateway

Se hacen públicos exploits para las vulnerabilidades de Citrix ADC y Gateway asociadas al CVE-2019-19781, que permitirían a un atacante no autenticado realizar ejecución de código arbitrario en servidores vulnerables.

Citrix confirmó que la falla afecta a todas las versiones compatibles del software, que incluyen:

  • Citrix ADC y Citrix Gateway versión 13.0 todas las compilaciones compatibles
  • Citrix ADC y NetScaler Gateway versión 12.1 todas las compilaciones compatibles
  • Citrix ADC y NetScaler Gateway versión 12.0 todas las compilaciones compatibles
  • Citrix ADC y NetScaler Gateway versión 11.1 todas las compilaciones compatibles
  • Citrix NetScaler ADC y NetScaler Gateway versión 10.5 todas las compilaciones compatibles

Citrix publicó la configuración de mitigaciones para que los administradores puedan proteger sus servidores contra posibles ataques remotos y se recomienda que sea aplicada de manera inmediata. Al momento no existen parches de seguridad disponibles.

Según Shodan hay más de 125,400 servidores Citrix ADC o Gateway accesibles públicamente, que podrían ser explotados si no se desconectan o se protegen con la mitigación publicada por Citrix.

Además de aplicar la mitigación recomendada, a los administradores de Citrix ADC también se les recomienda monitorear los registros de sus dispositivos para detectar ataques.
La detección de los intentos de explotación puede reconocerse alertando sobre las URL que contienen una solicitud POST con las cadenas «/ vpns /» y «/../», seguidas de una solicitud GET a un archivo que termina con la extensión xml

Para mayor información :

  • https://thehackernews.com/2020/01/citrix-adc-gateway-exploit.html
  • https://support.citrix.com/article/CTX267027
  • https://support.citrix.com/article/CTX267679