Vulnérabilité dans les produits Citrix ADC et Citrix Gateway

RISQUES 

  • Exécution de code arbitraire à distance

SYSTÈMES AFFECTÉS

  • Citrix ADC et Citrix Gateway versions 13.0.x antérieures à 13.0.47.24
  • Citrix ADC et NetScaler Gateway versions 12.1.x antérieures à 12.1.55.18
  • Citrix ADC et NetScaler Gateway versions 12.0.x antérieures à 12.0.63.13
  • Citrix ADC et NetScaler Gateway versions 11.1.x antérieures à 11.1.63.15
  • Citrix NetScaler ADC et NetScaler Gateway versions 10.5.x antérieures à 10.5.70.12
  • Citrix SD-WAN WANOP versions antérieures à 10.2.6b et 11.0.3b (Citrix ADC v11.1.51.615)

RÉSUMÉ


[Mise à jour du 27 janvier 2020]

Les correctifs pour toutes les versions supportées sont disponibles. Le CERT-FR recommande de les installer dans les plus brefs délais.

[Mise à jour du 23 janvier 2020]

Le 22 janvier 2020, Citrix a fourni, en collaboration avec FireEye, un outil qui tente de rechercher des possibles exploitations de la vulnérabilité CVE-2019-19781. Contrairement à l'outil fourni le 17 janvier qui permet de rechercher des machines vulnérables sur le réseau, il doit être lancé en local.

FireEye indique que l'outil doit être lancé avec les privilèges administrateur et ne garantit pas de repérer toutes les compromissions.

L'outil est présenté sur le site de FireEye et est disponible sur GitHub.

[Mise à jour du 20 janvier 2020]

Le 19 janvier 2020, Citrix a publié les correctifs pour les versions 12.0.x et 11.1.x.

La date de disponibilité des correctifs pour les autres versions a également été avancée au 24 janvier 2020.

Concernant les versions pour lesquelles certaines mesures de contournement ne fonctionnent pas, Citrix a clarifié sa position. Seule la version "12.1 build 50.28" est affectée. Il est recommandé dans ce cas de migrer vers la version "12.1 build 50.28/50.31" ou une version ultérieure.

[Mise à jour du 17 janvier 2020]

Le 16 janvier 2020, Citrix a mis à jour son bulletin de sécurité concernant la vulnérabilité CVE-2019-19781.
Citrix recommande de migrer vers une version sur laquelle il est possible d'appliquer la mesure de contournement.

Citrix a également annoncé que les modèles Citrix SD-WAN WANOP 4000, 4100, 5000 et 5100 sont également affecté par la vulnérabilité CVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020 pour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.

Enfin, Citrix a fourni un outil en Python afin de tester si son équipement est vulnérable : https://support.citrix.com/article/CTX269180

De manière générale, le CERT-FR recommande d'étudier la possibilité de déconnecter les serveurs Citrix concernés en attendant la mise à jour.

[Mise à jour du 13 janvier 2020]

Des codes d'exploitation ont été publiés dans la nuit du 10 au 11 janvier 2020. Leur utilisation a été rapportée par plusieurs sources publiques.

Le 11 janvier 2020, Citrix a publié les dates de disponibilités des correctifs qui sont les suivantes :

  • le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
  • le 24 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x
  • le 24 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x

Le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2019-19781 affectant les logiciels Citrix ADC et Citrix Gateway. Une campagne de détection fait partie de la phase de reconnaissance qui est préalable à la phase d'exploitation.

Pour rappel, la vulnérabilité CVE-2019-19781 permet une exécution de code arbitraire à distance. Citrix n'a pas encore publié de correctif de sécurité mais a proposé des mesures de contournements (cf. section Documentation).

Dans l'attente de la publication d'un correctif, le CERT-FR recommande fortement l'application des mesures de contournement.

CONTOURNEMENT PROVISOIRE
Se référer au bulletin de sécurité de l'éditeur pour l'obtention du contournement (cf. section Documentation).

SOLUTION
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

DOCUMENTATION

  • [1] Bulletin de sécurité Citrix CTX267027 du 17 décembre 2019

         https://support.citrix.com/article/CTX267027

  • [2] Descriptif du contournement à appliquer en date du 17 décembre 2019

         https://support.citrix.com/article/CTX267679

  • [3] Avis CERT-FR CERTFR-2019-AVI-640 du 18 décembre 2019

         https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/

  • [4] Référence CVE CVE-2019-19781

         http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781

GESTION DÉTAILLÉE DU DOCUMENT

le 09 janvier 2020 - Version initiale
le 13 janvier 2020 - Ajout des dates de disponibilité des correctifs de sécurité
le 17 janvier 2020 - Problème de la mesure de contournement sur certaines versions, modification de la liste de produits vulnérables et mise à disposition d'un outil de test de vulnérabilité.
le 20 janvier 2020 - Disponibilité des correctifs pour certaines versions ; la date de sortie des correctifs a été avancée pour toutes les versions ; clarification des versions pour lesquelles les mesures de contournement ne fonctionnent pas.
le 23 janvier 2020 - FireEye met à disposition un outil de recherche de compromission.
le 27 janvier 2020 - Les correctifs sont disponibles.

 

Source : CERT-FR