Vakava haavoittuvuus Citrix ADC sekä Citrix Gateway -tuotteissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Vakava haavoittuvuus Citrix ADC sekä Citrix Gateway -tuotteissa

18. joulukuuta 2019 klo 11.20, päivitetty 27. tammikuuta 2020 klo 16.09

Citrix Application Delivery Controller (ADC) sekä Citrix Gateway -tuotteista on löydetty haavoittuvuus, jota hyväksikäyttämällä tunnistautumattoman hyökkääjän on mahdollista suorittaa kohdejärjestelmässä mielivaltaista ohjelmakoodia. Haavoittuvuuksia skannataan aktiivisesti ja haavoittuviin laitteisiin tehdään tietomurtoja. Kyberturvallisuuskeskuksella on tiedossaan useita tapauksia Suomesta. Valmistaja on julkaissut tuotteille korjaavat päivitykset. Citrix ja FireEye ovat julkaisseet ilmaisen työkalun, jolla on mahdollista tunnistaa murrettu Citrix-järjestelmä.

Citrix julkaisi 17.12.2019 haavoittuvuustiedotteen koskien Citrix Application Delivery Controller (ADC) -tuotetta, joka tunnettiin aiemmin nimellä NetScaler ADC sekä Citrix Gateway -tuotetta, aiemmalta nimeltään NetScaler Gateway.

Molemmista mainituista ohjelmistoista löydetyn haavoittuvuuden CVE-2019-19781 onnistunut hyväksikäyttö voi mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen haavoittuvassa kohdejärjestelmässä. Haavoittuvuuksia käytetään aktiivisesti hyväksi tietomurtojen yhteydessä. 

CVE-2019-19781: Vulnerability in Citrix Application Delivery Controller and Citrix Gateway leading to arbitrary code execution

Haavoittuvuuden kohde

  • Citrix ADC ja Citrix Gateway versio 13.0
  • Citrix ADC ja NetScaler Gateway versio 12.1
  • Citrix ADC ja NetScaler Gateway versio 12.0
  • Citrix ADC ja NetScaler Gateway version 11.1
  • Citrix NetScaler ADC ja NetScaler Gateway version 10.5
  • Citrix SD-WAN WANOP -ohjelmisto ja laitemallit 4000, 4100, 5000 ja 5100

Haavoittuvuus koskee mainittuja ohjelmistoversioita kaikilla tuetuilla alustoilla.

Mistä on kysymys?

Päivitys (27.1.2020):

Valmistaja on julkaissut loputkin korjaavat päivitykset perjantaina 24.1.2020.

Suosittelemme tarkistamaan laitteet tietomurtojen varalta. Suositeltu rajoitusmenetelmä ei välttämättä ole estänyt kaikkia haavoittuvuuden hyväksikäyttötapoja.

 

Päivitys (23.1.2020)

Citrix ja FireEye ovat julkaisseet ilmaisen työkalun, jolla on mahdollista tunnistaa murrettu Citrix-järjestelmä. 

Työkalu on suunniteltu toimimaan Citrix Application Delivery Controller (ADC), Citrix Gateway ja Citrix SD-WAN WANOP laitteiden seuraavilla ohjelmistoversioilla: 

  • Citrix ADC ja Citrix Gateway versio 13.0
  • Citrix ADC ja Citrix Gateway versio 12.1
  • Citrix ADC ja Citrix Gateway versio 12.0
  • Citrix ADC ja Citrix Gateway versio 11.1
  • Citrix ADC ja Citrix Gateway versio 10.5
  • Citrix SD-WAN WANOP versio 10.2.6
  • Citrix SD-WAN WANOP versio 11.0.3

Lue tarkempia tietoja ja ohjeita työkalun käyttöön liittyen FireEye:n blogista: https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html

Työkalun voi ladata Citrixin githubista: https://github.com/citrix/ioc-scanner-CVE-2019-19781

 

Päivitys (20.1.2020):

Valmistaja on julkaissut aikataulun ohjelmistot korjaaville päivityksille. Citrix ADC ja Netscaler Gateway versioille 11.1 ja 12.0 on julkaistu päivitys 19.1. Citrix SD-WAN WANOP ja muut ADC ja Gateway -versiot saavat päivityksen 24.1.2020. 

Citrix ADC ja Netscaler Gateway  
VersionRefresh BuildRelease Date
10.510.5.70.x24.1.2020
11.111.1.63.1519.1.2020
12.012.0.63.1319.1.2020
12.112.1.55.x24.1.2020
13.013.0.47.x24.1.2020
Citrix SD-WAN WANOP  
ReleaseCitrix ADC Release 
10.2.611.1.51.61524.1.2020
11.0.311.1.51.61524.1.2020

Korjaavat päivitykset voi ladata osoitteista: https://www.citrix.com/downloads/citrix-adc/ ja https://www.citrix.com/downloads/citrix-gateway/

Valmistaja on julkaissut työkalun, jolla rajoitustoimien toimivuuden voi varmistaa: https://support.citrix.com/article/CTX269180

 

Päivitys (16.1.2020):

Valmistajan mukaan Citrix ADC -ohjelmistossa ennen version 12.1 käännösversioita 51.16/51.19 ja 50.31 on virhe, joka estää suositellun rajoitusmenetelmän toiminnan. Näitä versioita suositellaan päivitettäväksi uudempaan, jotta rajoitusmenetelmä toimisi.

Voit tilata muistutuksen korjaavan ohjelmistoversion julkaisusta valmistajan sivuilta:
https://support.citrix.com/user/alerts

 

Valmistaja on julkaissut ohjeen hyväksikäytön rajoittamiseksi:
https://support.citrix.com/article/CTX267679

Ohjelmistovalmistaja suosittelee rajoitustoimenpiteiden välitöntä käyttöönottoa kaikissa haavoittuvissa järjestelmissä, sekä päivittämään korjatun ohjelmiston heti käyttöön kun ne ovat saatavilla.

Mitä voin tehdä?

Valmistajan haavoittuvuustiedote:

CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
https://support.citrix.com/article/CTX267027

 

 

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

16. tammikuuta 2020 klo 16.25 Valmistajan mukaan Citrix ADC -ohjelmistossa ennen version 12.1 käännösversioita 51.16/51.19 ja 50.31 on virhe, joka estää suositellun rajoitusmenetelmän toiminnan. Näitä versioita suositellaan päivitettäväksi uudempaan, jotta rajoitusmenetelmä toimisi.