Używasz Citrix Gateway lub ADC? Zaczęło się aktywne wykorzystywanie krytycznej podatności (CVE-2019-19781)

Trochę więcej technicznych informacji dostępnych jest tutaj. W skrócie, można pewnymi prostymi żądaniami HTTP (bez uwierzytelnienia) wykonać kod na Citrix Gateway lub ADC. Podatność jest też aktywnie wykorzystywana:

🚨 In my Citrix ADC honeypot, CVE-2019-19781 is being probed with attackers reading sensitive credential config files remotely using ../ directory traversal (a variant of this issue). So this is in the wild, active exploitation starting up. 🚨 https://t.co/pDZ2lplSBj

— Kevin Beaumont (@GossiTheDog) January 8, 2020

Co to za proste żądania HTTP? Wygląda na to, że dostęp tego typu jest (i powinien być) nieuwierzytelniony: adres_ip/vpn/index.html.

Mamy też bardziej wrażliwe ścieżki, posiadające np. skrypty perla (np. /vpns/). Jak tam się dostać? W prosty sposób ;)

adres_ip/vpn/../vpns

Dalej, korzystając z dostępnego na urządzeniu Perl Template Toolkit można ładować dowolny kod do wykonania na serwerze. Wg autora wcześniej cytowanego badania, obecnie realnie podatnych jest około 40 000 urządzeń dostępnych z Internetu.

–ms