Shitrix, actualiza para librarte del CVE-2019-19781 en Citrix ADC y Gateway
En los días pasados muchos han alertado de los escaneos que estaban llevándose a cabo contra los NetScaler ADC (Application Delivery Controller) y Citrix Gateway o NetScaler Gateway, aquellos afectados por la vulnerabilidad CVE-2019-19781.
Otros mientras tanto alertaron de que el código de posibles exploits (1, 2) para la vulnerabilidad era hecho público. Los investigadores de MDSec publicaron los detalles técnicos de este problema, junto con un video demostrativo, pero no lo hicieron público para no tentar a los delincuentes.
Publican un PoC de exploit para CVE-2019-19781
En Diciembre, Citrix publicó un boletín para la vulnerabilidad crítica, explicando que podría usarse por atacantes para acceder a redes corporativas. Se estima que más de 80000 empresas de 158 países se hayan en riesgo, sobre todo en EEUU, Reino Unido y Alemania.
Si este fallo se aprovecha, los atacantes obtendrán acceso directo a la red local de la empresa desde internet. Este ataque no requiere de acceso a ninguna cuenta, por lo que podría ser realizado por cualquier atacante externo.
Positive Technologies
Nuestros expertos determinaron que al menos 80000 empresas de unos 158 países estaban en riesgo potencial.
La vulnerabilidad afecta a todas las versiones soportadas del producto, para todas las plataformas donde se implementa, incluyendo: Citrix ADC y Citrix Gateway 13.0, Citrix ADC y Netscaler 12.1, Citrix ADC y Netscaler 12.0, Citrix ADC y Netscaler 11.1 y Citrix ADC / Netscaler 10.5. Boletín CTX267027.
Mitigaciones y parches
Lo que han hecho los atacantes es ingeniería inversa sobre los cambios introducidos por Citrix en sus parches, para así desarrollar su código de exploit. Ahora, para mitigar el fallo, se nos urge de nuevo a actualizar esta plataforma, pero eso será posiblemente ya a finales de mes.
Lo que recomiendan, mientras tanto, es aplicar una serie de pasos para mitigar la vulnerabilidad. Implican la creación de un responder con 403 asociado a la política ctx 267027, entre otras acciones. Revisa el CTX267679.
Si eres administrador de Citrix o responsable de seguridad quizá quieras alzar la mano y tomar medidas de prevención. Se teme que se aprovechen estos problemas para intentar infectar con criptominería o ransomware los servidores.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.