Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Używasz Citrix Gateway lub ADC? Zaczęło się aktywne wykorzystywanie krytycznej podatności (CVE-2019-19781)
Trochę więcej technicznych informacji dostępnych jest tutaj. W skrócie, można pewnymi prostymi żądaniami HTTP (bez uwierzytelnienia) wykonać kod na Citrix Gateway lub ADC. Podatność jest też aktywnie wykorzystywana:
🚨 In my Citrix ADC honeypot, CVE-2019-19781 is being probed with attackers reading sensitive credential config files remotely using ../ directory traversal (a variant of this issue). So this is in the wild, active exploitation starting up. 🚨 https://t.co/pDZ2lplSBj
— Kevin Beaumont (@GossiTheDog) January 8, 2020
Co to za proste żądania HTTP? Wygląda na to, że dostęp tego typu jest (i powinien być) nieuwierzytelniony: adres_ip/vpn/index.html.
Mamy też bardziej wrażliwe ścieżki, posiadające np. skrypty perla (np. /vpns/). Jak tam się dostać? W prosty sposób ;)
adres_ip/vpn/../vpns
Dalej, korzystając z dostępnego na urządzeniu Perl Template Toolkit można ładować dowolny kod do wykonania na serwerze. Wg autora wcześniej cytowanego badania, obecnie realnie podatnych jest około 40 000 urządzeń dostępnych z Internetu.
–ms