ALERTE : Vulnérabilité Citrix ADC et Gateway (09.01.20)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité Citrix ADC et Gateway (09.01.20)

Messagede pierre » 10 Jan 2020, 19:54

ALERTE : Vulnérabilité dans les produits Citrix ADC et Citrix Gateway

Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Citrix ADC et Citrix Gateway version 13.0 et antérieures
Citrix ADC et NetScaler Gateway version 12.1 et antérieures
Citrix ADC et NetScaler Gateway version 12.0 et antérieures
Citrix ADC et NetScaler Gateway version 11.1 et antérieures
Citrix NetScaler ADC et NetScaler Gateway version 10.5 et antérieures

Résumé
Le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2019-19781 affectant les logiciels Citrix ADC et Citrix Gateway. Une campagne de détection fait partie de la phase de reconnaissance qui est préalable à la phase d'exploitation.

Pour rappel, la vulnérabilité CVE-2019-19781 ( viewtopic.php?f=173&t=34901 ) permet une exécution de code arbitraire à distance. Citrix n'a pas encore publié de correctif de sécurité mais a proposé des mesures de contournements (cf. section Documentation).

Dans l'attente de la publication d'un correctif, le CERT-FR recommande fortement l'application des mesures de contournement.

Contournement provisoire
Se référer au bulletin de sécurité de l'éditeur pour l'obtention du contournement (cf. section Documentation).

Documentation
Bulletin de sécurité Citrix CTX267027 du 17 décembre 2019
https://support.citrix.com/article/CTX267027

Descriptif du contournement à appliquer en date du 17 décembre 2019
viewtopic.php?f=173&t=34901

Avis CERT-FR CERTFR-2019-AVI-640 du 18 décembre 2019
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/

Référence CVE CVE-2019-19781
http://cve.mitre.org/cgi-bin/cvename.cg ... 2019-19781
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26281
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité Citrix ADC et Gateway (09.01.20)

Messagede pierre » 22 Jan 2020, 19:55

Révision du 20 janvier 2020

Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Citrix ADC et Citrix Gateway versions 13.0 et antérieures
Citrix ADC et NetScaler Gateway versions 12.1 et antérieures
Citrix ADC et NetScaler Gateway versions 12.0.x antérieures à 12.0.63.13
Citrix ADC et NetScaler Gateway versions 11.1.x antérieures à 11.1.63.15
Citrix NetScaler ADC et NetScaler Gateway versions 10.5 et antérieures
Citrix SD-WAN WANOP versions antérieures à 11.1.63

Résumé
[Mise à jour du 20 janvier 2020]

Le 19 janvier 2020, Citrix a publié les correctifs pour les versions 12.0.x et 11.1.x.

La date de disponibilité des correctifs pour les autres versions a également été avancée au 24 janvier 2020.

Concernant les versions pour lesquelles certaines mesures de contournement ne fonctionnent pas, Citrix a clarifié sa position. Seule la version "12.1 build 50.28" est affectée. Il est recommandé dans ce cas de migrer vers la version "12.1 build 50.28/50.31" ou une version ultérieure.

[Mise à jour du 17 janvier 2020]
Le 16 janvier 2020, Citrix a mis à jour son bulletin de sécurité concernant la vulnérabilité CVE-2019-19781.

Citrix annonce que la mesure de contournement proposée en attendant la sortie des correctifs ne fonctionne pas pour les versions 12.1.x suivantes:

Citrix ADC et NetScaler Gateway versions 12.1.51.16 à 12.1.51.19
Citrix ADC et NetScaler Gateway versions 12.1.50.31

Citrix recommande de migrer vers une version sur laquelle il est possible d'appliquer la mesure de contournement.

Citrix a également annoncé que les modèles Citrix SD-WAN WANOP 4000, 4100, 5000 et 5100 sont également affecté par la vulnérabilité CVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020 pour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.

Enfin, Citrix a fourni un outil en Python afin de tester si son équipement est vulnérable : https://support.citrix.com/article/CTX269180

De manière générale, le CERT-FR recommande d'étudier la possibilité de déconnecter les serveurs Citrix concernés en attendant la mise à jour.

[Mise à jour du 13 janvier 2020]
Des codes d'exploitation ont été publiés dans la nuit du 10 au 11 janvier 2020. Leur utilisation a été rapportée par plusieurs sources publiques.

Le 11 janvier 2020, Citrix a publié les dates de disponibilités des correctifs qui sont les suivantes :

le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
le 27 janvier 2020 24 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x
le 31 janvier 2020 24 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x

Le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2019-19781 affectant les logiciels Citrix ADC et Citrix Gateway. Une campagne de détection fait partie de la phase de reconnaissance qui est préalable à la phase d'exploitation.

Pour rappel, la vulnérabilité CVE-2019-19781 permet une exécution de code arbitraire à distance. Citrix n'a pas encore publié de correctif de sécurité mais a proposé des mesures de contournements (cf. section Documentation).

Dans l'attente de la publication d'un correctif, le CERT-FR recommande fortement l'application des mesures de contournement.
Contournement provisoire

Se référer au bulletin de sécurité de l'éditeur pour l'obtention du contournement (cf. section Documentation).

Documentation
[1] Bulletin de sécurité Citrix CTX267027 du 17 décembre 2019
https://support.citrix.com/article/CTX267027

[2] Descriptif du contournement à appliquer en date du 17 décembre 2019
https://support.citrix.com/article/CTX267679

[3] Avis CERT-FR CERTFR-2019-AVI-640 du 18 décembre 2019
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/

[4] Référence CVE CVE-2019-19781
http://cve.mitre.org/cgi-bin/cvename.cg ... 2019-19781
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26281
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité Citrix ADC et Gateway (09.01.20)

Messagede pierre » 24 Jan 2020, 20:19

[Mise à jour du 23 janvier 2020]

Le 22 janvier 2020, Citrix a fourni, en collaboration avec FireEye, un outil qui tente de rechercher des possibles exploitations de la vulnérabilité CVE-2019-19781. Contrairement à l'outil fourni le 17 janvier qui permet de rechercher des machines vulnérables sur le réseau, il doit être lancé en local.

FireEye indique que l'outil doit être lancé avec les privilèges administrateur et ne garantit pas de repérer toutes les compromissions.

L'outil est présenté sur le site de FireEye ( https://www.fireeye.com/blog/products-a ... ility.html ) et est disponible sur GitHub ( https://github.com/fireeye/ioc-scanner- ... s/tag/v1.0 ).
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26281
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité Citrix ADC et Gateway (09.01.20)

Messagede pierre » 27 Jan 2020, 18:31

[Mise à jour du 27 janvier 2020]

Les correctifs pour toutes les versions supportées sont disponibles.


Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Citrix ADC et Citrix Gateway versions 13.0.x antérieures à 13.0.47.24
Citrix ADC et NetScaler Gateway versions 12.1.x antérieures à 12.1.55.18
Citrix ADC et NetScaler Gateway versions 12.0.x antérieures à 12.0.63.13
Citrix ADC et NetScaler Gateway versions 11.1.x antérieures à 11.1.63.15
Citrix NetScaler ADC et NetScaler Gateway versions 10.5.x antérieures à 10.5.70.12
Citrix SD-WAN WANOP versions antérieures à 10.2.6b et 11.0.3b (Citrix ADC v11.1.51.615)

Résumé

[Mise à jour du 27 janvier 2020]
Les correctifs pour toutes les versions supportées sont disponibles. Le CERT-FR recommande de les installer dans les plus brefs délais.

[Mise à jour du 23 janvier 2020]
Le 22 janvier 2020, Citrix a fourni, en collaboration avec FireEye, un outil qui tente de rechercher des possibles exploitations de la vulnérabilité CVE-2019-19781. Contrairement à l'outil fourni le 17 janvier qui permet de rechercher des machines vulnérables sur le réseau, il doit être lancé en local.

FireEye indique que l'outil doit être lancé avec les privilèges administrateur et ne garantit pas de repérer toutes les compromissions.

L'outil est présenté sur le site de FireEye et est disponible sur GitHub.

[Mise à jour du 20 janvier 2020]
Le 19 janvier 2020, Citrix a publié les correctifs pour les versions 12.0.x et 11.1.x.

La date de disponibilité des correctifs pour les autres versions a également été avancée au 24 janvier 2020.

Concernant les versions pour lesquelles certaines mesures de contournement ne fonctionnent pas, Citrix a clarifié sa position. Seule la version "12.1 build 50.28" est affectée. Il est recommandé dans ce cas de migrer vers la version "12.1 build 50.28/50.31" ou une version ultérieure.

[Mise à jour du 17 janvier 2020]
Le 16 janvier 2020, Citrix a mis à jour son bulletin de sécurité concernant la vulnérabilité CVE-2019-19781.

Citrix annonce que la mesure de contournement proposée en attendant la sortie des correctifs ne fonctionne pas pour les versions 12.1.x suivantes:
Citrix ADC et NetScaler Gateway versions 12.1.51.16 à 12.1.51.19
Citrix ADC et NetScaler Gateway versions 12.1.50.31

Citrix recommande de migrer vers une version sur laquelle il est possible d'appliquer la mesure de contournement.
Citrix a également annoncé que les modèles Citrix SD-WAN WANOP 4000, 4100, 5000 et 5100 sont également affecté par la vulnérabilité CVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020 pour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.

Enfin, Citrix a fourni un outil en Python afin de tester si son équipement est vulnérable : https://support.citrix.com/article/CTX269180

De manière générale, le CERT-FR recommande d'étudier la possibilité de déconnecter les serveurs Citrix concernés en attendant la mise à jour.

[Mise à jour du 13 janvier 2020]
Des codes d'exploitation ont été publiés dans la nuit du 10 au 11 janvier 2020. Leur utilisation a été rapportée par plusieurs sources publiques.

Le 11 janvier 2020, Citrix a publié les dates de disponibilités des correctifs qui sont les suivantes :
le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
le 27 janvier 2020 24 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x
le 31 janvier 2020 24 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x

Le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2019-19781 affectant les logiciels Citrix ADC et Citrix Gateway. Une campagne de détection fait partie de la phase de reconnaissance qui est préalable à la phase d'exploitation.

Pour rappel, la vulnérabilité CVE-2019-19781 permet une exécution de code arbitraire à distance. Citrix n'a pas encore publié de correctif de sécurité mais a proposé des mesures de contournements (cf. section Documentation).

Dans l'attente de la publication d'un correctif, le CERT-FR recommande fortement l'application des mesures de contournement.

Contournement provisoire
Se référer au bulletin de sécurité de l'éditeur pour l'obtention du contournement (cf. section Documentation).

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
[1] Bulletin de sécurité Citrix CTX267027 du 17 décembre 2019
https://support.citrix.com/article/CTX267027

[2] Descriptif du contournement à appliquer en date du 17 décembre 2019
https://support.citrix.com/article/CTX267679

[3] Avis CERT-FR CERTFR-2019-AVI-640 du 18 décembre 2019
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/

[4] Référence CVE CVE-2019-19781
http://cve.mitre.org/cgi-bin/cvename.cg ... 2019-19781


Historique des alertes et avis sur les produits Citrix
Historique des alertes et avis sur les produits Citrix
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26281
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 8 invités

cron