De Citrix fout, CVE-2019-19.781, werd voor het eerst geïdentificeerd in december 2019. De kwetsbare producten omvatten de Citrix Application Delivery Controller (NetScaler ADC) en Citrix Gateway (NetScaler Gateway). Ondanks Citrix hebben gedeeld beperkende factoren om aanvallen te voorkomen, proof-of-concent codes werden vrijgegeven voor het publiek, potentieel leidde tot een reeks exploits tegen CVE-2019-19.781.
Volgens Citrix, de kwetsbaarheden invloed gehad op de volgende: Citrix NetScaler ADC & NetScaler Gateway v. 10.5 op alle ondersteunde bouwt; Citrix ADC & NetScaler Gateway v 11.1, 12.0, 12.1 op alle ondersteunde bouwt; en Citrix ADC & en Citrix Gateway v 13.0 op alle ondersteunde bouwt.
Zodra het lek onder de aandacht werd gebracht, werd geconstateerd dat sommige 80,000 bedrijven over 158 landen actief zijn kwetsbaar installaties. Beïnvloed bedrijven zijn gevestigd in Nederland, Australië, Verenigd Koninkrijk, Duitsland, en de Verenigde Staten.
Working PoC Exploits tegen de CVE-2019-19.781 Citrix Flaw
Volgens de laatste informatie, er werken exploits tegen de CVE-2019-19.781 fout. Cybercriminelen hebben geprobeerd om de kwetsbaarheid en krijgen toegang van ongepatchte apparaten te exploiteren. Nu, dankzij de werkende proof-of-concept exploits, aanvallers kunnen uitvoering van code eenvoudig willekeurige aanvallen uit te voeren zonder de noodzaak van de rekening van de geloofsbrieven.
Hoewel Citrix niet is gekomen met een patch, beperkende factoren werden gepresenteerd voor de verschillende betrokken bedrijven te implementeren en te voorkomen beveiligingsincidenten. Nu, dankzij de werkende PoC exploit aanvallers beginnen om actief gebruik maken van de fout, en degenen die niet de beperkende factoren hebben toegepast werden waarschijnlijk al gecompromitteerd.
Dit is allemaal slecht nieuws, vooral wanneer security experts en bijna iedereen die een basiskennis van veiligheid van het netwerk heeft is het waarschuwen van de gemeenschap van het gevaar. En het gevaar kreeg heel reëel met de release van de eerste werkdag proof-of-concept code bedacht door een groep onderzoekers die bekend staat als Project Zero India.
Enkele uren na de eerste PoC, een ander team, TrustedSec, creëerden hun eigen PoC. Opgemerkt dient te worden dat het voornemen van TrustedSec was niet naar de PoC openbaar te maken, maar omdat anderen deden het, ze ook besloten om het te delen.
“We zijn deze alleen onthullen als gevolg van anderen te publiceren van de exploit code eerste. We hadden gehoopt te hebben gehad dit verborgen voor een tijdje langer, terwijl verdedigers juiste moment om hun systemen patchen gehad,” de onderzoekers verklaard.
We besloten om de bronnen van de bestaande CVE-2019-19.781 PoC exploits om veiligheidsredenen niet openbaar te maken.