Bereits am 17. Dezember gab Citrix eine kritische Schwachstelle mit der Nummer CVE-2019-19781 bekannt, mittels der ein nicht authentifizierter Angreifer beliebige Befehle auf einem verwundbaren System ausführen kann. Ein Update wurde bisher nicht bereitgestellt, lediglich eine Problemumgehung.
Betroffen sind Citrix Application Delivery Controller, Citrix Gateway und Citrix SD-WAN WANOP appliance.
Bei einem Scan über alle laut cert.at in Österreich befindlichen IPv4 Adressen konnten wir knapp 1000 Systeme mit Citrix finden, wovon 425 Systeme in unserem Scan am 15.01.2020 immer noch verwundbar waren. Unter den betroffenen Systemen befinden sich Energieversorger, Behörden, IT-Dienstleister, Banken sowie einige KMUs.
Währenddessen können wir auf unseren Honeypots bereits automatische Angriffswellen gegen verwundbare Systeme sehen und können daher nur jedem betroffenen Unternehmen raten möglichst schnell zu reagieren. Mittlerweile kann davon ausgegangen werden, dass ein verwundbares System bereits kompromittiert wurde und daher ersetzt oder gründlich überprüft & gereinigt werden sollte.
Die Zahlen im Detail (Stand 15.01.2020)
Gescannte IPv4 Adressen: 11,8 Millionen
Offene HTTP Ports (80, 443): 329 Tausend
Citrix eindeutig identifiziert: 979
Anfällig: 425
Die immer noch immense Verwundbarkeit scheint aus unserer Sicht zu einem großen Teil auf mangelnde Fürsorge des Herstellers zurückzuführen zu sein. In einem solchen Fall mehr als einen Monat für einen Patch zu benötigen ist als grob fahrlässig einzustufen, unabhängig davon, ob eine Problemumgehung existiert. Weiters funktioniert die genannte "Lösung" nicht unter jeder Software Version, da es hier ebenfalls einen Fehler gibt. Einen entsprechenden Hinweis seitens des Herstellers gibt es nicht.
Um die Verwundbarkeit der eigenen Services – auch intern – zu testen, kann folgendes Tool genutzt werden: https://github.com/trustedsec/cve-2019-19781
Weitere Informationen zum Patch findet ihr unter https://support.citrix.com/article/CTX267679 & http://deyda.net/index.php/en/2020/01/15/checklist-for-citrix-adc-cve-2019-19781/ .
Den Überblick über neue Schwachstellen in eurer externen Infrastruktur behaltet ihr übrigens mit unserer Security-Monitoring-Lösung Offensity. Die betroffenen Offensity-Kunden konnten bereits kurz nach Veröffentlichung des PoC am 10.01. benachrichtigt werden.