Używasz Citrix Gateway lub ADC? Zaczęło się aktywne wykorzystywanie krytycznej podatności (CVE-2019-19781)

Trochę więcej technicznych informacji dostępnych jest tutaj. W skrócie, można pewnymi prostymi żądaniami HTTP (bez uwierzytelnienia) wykonać kod na Citrix Gateway lub ADC. Podatność jest też aktywnie wykorzystywana:

https://twitter.com/GossiTheDog/status/1214892555306971138?

Co to za proste żądania HTTP? Wygląda na to, że dostęp tego typu jest (i powinien być) nieuwierzytelniony: adres_ip/vpn/index.html.

Mamy też bardziej wrażliwe ścieżki, posiadające np. skrypty perla (np. /vpns/). Jak tam się dostać? W prosty sposób ;)

adres_ip/vpn/../vpns

Dalej, korzystając z dostępnego na urządzeniu Perl Template Toolkit można ładować dowolny kod do wykonania na serwerze. Wg autora wcześniej cytowanego badania, obecnie realnie podatnych jest około 40 000 urządzeń dostępnych z Internetu.

–ms