سیستم هانی‌پات(Honeypots) با حجم بالایی از اسکن از یک منبع در آلمان Citrix Application Delivery Controller (ADC) و Citrix Gateway را مورد حمله قرار دادند و سرورهای Citrix نسبت به CVE-2019-19781 آسیب‌پذیر هستند.

روز جمعه، ۱۰ ژانویه ۲۰۲۰، سیستم هانی‌پات(Honeypots) با حجم بالایی از اسکن از یک منبع در آلمان Citrix Application Delivery Controller (ADC) و Citrix Gateway که به نام Netscaler Gateway هم می‌شناسند را مورد حمله قرار دادند. این سرورها نسبت به CVE-2019-19781 آسیب‌پذیر هستند.

این آسیب‌پذیری بحرانی به حمله کننده  از راه دور اجازه اجرای دستورات روی سرور هدف را بعد از استفاده از نقض خواندن/نوشتن فایل می‌دهد. این فعالیت نشان دهنده سعی در دانلود فایل smb.conf توسط مهاجم می‌باشد. این فایل به نظر دارای اطلاعات حساسی نیست ولی منجربه اجرای حملات بعدی و پیچیده تر می‌گردد.

شناسه آسیب­‌پذیری: CVE-2019-19781

سطح ریسک: بحرانی

CVSS:3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H

سیستم­‌های آسیب‌­پذیر:

Citrix Application Delivery Controller (ADC) and Gateway 10.5, 11.1, 12.0, 12.1, and 13.0.

نیازمندی تعامل کاربر: خیر

سال شناسایی: ۲۰۱۹

روز یکشنبه،۱۲ ژانویه ۲۰۲۰، سیستم هانی‌پات(Honeypots) چندین تلاش برای اکسپلویت کردن از CVE-2019-19781 بر روی سروری در لهستان شناسایی کرد. این متفاوت از فعالیت اسکن قبلی است که در واقع شامل اکسپلویت کردن از طریق پورتهای ۴۴۳، ۲۰۸۳، ۲۰۸۷ و ۸۴۴۳/tcp است. تحلیل و شناسایی اقدامات اسکن توسط Kevin Beaumont و SANS ISC انجام شد و مهاجم محصولات عمومی و قابل دسترس Citrix ADC وCitrix (NetScaler) Gateway endpoints هدف قرار داد.

۱-چه تعداد هاست در برابر CVE-2019-19781 آسیب پذیرند؟

با استفاده از اطلاعات بدست آمده توسط BinaryEdge، بیش از ۶۰.۰۰۰ Critix endpoints برای آسیب‌پذیری مورد بررسی قرار گرفتند. اسکن‌ها نشان از پیدا شدن در مجموع ۲۵.۱۲۱ آی پی ورژن آسیب پذیر در برابر CVE-2019-19781 می‌باشد. بر اساس این نتایج، اطلاعات تمام گواهی‌های SSL مربوط به ۱۸.۱۵۵ دامین فهرست شدند. هیچ اطلاعات حساس خاصی در طول اسکن جمع آوری نگردید و فقط درخواست HTTP HEAD را برای تایید آسیب‌پذیری ارسال نمودیم.

۲- سرورهای آسیب‌پذیر در کجا هستند؟

سرورهای آسیب پذیر در ۱۲۲ کشو هستند که در شکل زیر نمایش داده شده‌اند. جزئیات بیشتر در سایت docs.google قرار داده شده است.

شکل ۱: کشور‌ها با رنگ پررنگ تعداد بیشتری سرور وجود دارد.

۳-چه نوع سازمان‌هایی تحت تاثیر CVE-2019-19781 قرار گرفتند؟

AS های منحصربه فرد شناسایی شده ۴.۵۷۶ عدد بوده که نسبت به این آسیب‌پذیری در Citrix دارای نقطه ضعف هستند. تاثیرات این آسیب پذیری شامل:

  • نظامی، فدرالی، ایالتی و سازمان‌های دولتی شهری.
  • مدارس و دانشگاه‌های عمومی.
  • بیمارستان‌ها و مراکز دمانی.
  • تجهیزات برقی و تعاونی‌ها.
  • مراکز مالی اصلی و موسسات بانکی.
  • تعداد زیادی از شرکتهای عضو در Fortune.

۴-CVE-2019-19781 از چه طریقی اکسپلویت می گردد و چه خطراتی دارد؟

حمله کننده به راحتی این آسیب‌پذیری بحرانی را اکسپلویت می‌کند که از طریق شواهد عمومی proof-of-concept code اجرا می‌شود. چندین روش برای اکسپلویت کردن از CVE-2019-19781 در سایت GitHub توسط Project Zero India و TrustedSec به اشتراک گذاشته شده‌اند. یک راهنمای فارنزیک(forensic) نیز برای اینکه سرور Citrix را بررسی کنیم وجود دارد.

اکسپلویت کردن وسیع‌تر و پیشروی از این آسیب‌پذیری، می‌تواند برای پخش باج افزار (مشابه CVE-2019-11510) و بدافزار ماینیگ برروی سرورهای حساس استفاده شود. اگر چندین سرور از طریق یک تهدید کننده مشترک مورد حمله قرار گیرند، حمله میتوانند فعالیت‌های مخربی مانند حمله DDoS را دربرگیرد.

۵- راهکار ایمن سازی

شرکت Citrix لیستی از تاثیرات امنیتی‌آسیب پذیری CVE-2019-19781 را تهیه کرده است. سازمان‌هایی که از نسخه آسیب پذیر Citrix ADC و  Citrix (NetScaler) Gateway endpoints استفاده می‌کنند، باید مراحل محدود سازی برای جلوگیری کردن از آسیب‌پذیری را که در منابع ارایه شده است بنابر نسخه مورد مورد استفاده، اجرا نمایند. در حال حاضر هیچ وصله برای این آسیب‌پذیری وجود ندارد ولی Citrix انتظار به روز رسانی firmware را تا پایان ژانویه ۲۰۲۰ دارد. نمره CVSS برابر با ۹.۸ یا بحرانی است.

منابع

Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781

https://nvd.nist.gov/vuln/detail/CVE-2019-19781#vulnCurrentDescriptionTitle