Grave vulnerabilità 0-DAY su Citrix NetScaler e ADC

Articolo su CERTnazionale del 13/01/2020

È stata recentemente individuata una grave vulnerabilità zero-day (CVE-2019-19781) nei prodotti Citrix NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway, tra le principali soluzioni tecnologiche adottate in contesti enterprise per la gestione, il bilanciamento e la fruibilità delle applicazioni aziendali.

Come segnalato al CERT Nazionale dalla società Yoroi, la problematica è legata a lacune nella gestione delle richieste HTTP client da parte delle interfacce Web degli applicativi in questione, che rendono possibile ad un attaccante remoto di eseguire comandi arbitrari all’interno del sistema, installare backdoor e malware senza alcuna necessità di autenticazione.
Il Produttore ha confermato la problematica e pianificato il rilascio di aggiornamenti firmware a partire dal 20 gennaio 2020 per tutte le build supportate dei seguenti prodotti:
Citrix ADC e Citrix Gateway versione 13.0
Citrix ADC e NetScaler Gateway versione 12.1
Citrix ADC e NetScaler Gateway versione 12.0
Citrix ADC e NetScaler Gateway versione 11.1
Citrix NetScaler ADC e NetScaler Gateway versione 10.5

Sono inoltre disponibili soluzioni di mitigazione temporanee da adottare in attesa del rilascio delle patch di sicurezza ufficiali. Nella fattispecie sono disponibili variazioni alle configurazioni e policy volte ad inibire lo sfruttamento della vulnerabilità per installazioni in modalità “Standalone”, “High Availability” e “Cluster”.
Per via della possibile esposizione su Internet delle tecnologie vulnerabili, della disponibilità di dettagli tecnici e strumenti di attacco volti a sfruttare la problematica e della presenza di tentativi di attacco in corso, si raccomanda di applicare con urgenza le mitigazioni proposte dal Produttore e di pianificare l’installazione degli aggiornamenti del firmware previsti.

Si consiglia inoltre di effettuare controlli ed investigazioni precauzionali all’interno dei log degli apparati Citrix NetScaler e ADC, nella fattispecie nei file “httpaccess.log” e “httperror.log” (ricercando richieste similari a “POST /vpn/../vpns/portal/scripts/newbm.pl”), nei file “bash.log”, controllando la presenza di comandi lanciati inusualmente (ad es., “curl”, “uname”, “whoami”) e di verificare l’eventuale presenza di processi anomali lanciati dai servizi Web.