Citrix: grave bug nel suo Application Delivery Controller (CVE-2019-19781)

Citrix è nei guai: Bug CVE-2019-19781.

Secondo Citrix, il bug potrebbe consentire a un aggressore di eseguire un’esecuzione arbitraria del codice anche senza un’adeguata autenticazione.

Citrix ha rivelato un grave bug nel suo Citrix Application Delivery Controller (ADC), utilizzato da almeno 80.000 organizzazioni. E per ora non è disponibile alcuna patch.

Gli amministratori potrebbero anche conoscere il prodotto interessato come NetScaler ADC, Citrix Gateway o NetScaler Gateway. Il bug è stato etichettato con l’identificatore CVE-2019-19781.
Date le passate festività natalizie, la comunicazione di Citrix potrebbe è avvenuta in un pessimo momento per gli amministratori IT aziendali incaricati di gestire le apparecchiature alimentate da Citrix, che sono ampiamente utilizzate nelle reti aziendali negli Stati Uniti, nel Regno Unito e in Australia.
Sfortunatamente per i clienti, la società di virtualizzazione statunitense non dispone di una patch, ma ha una mitigazione consigliata che può essere implementata fino all’arrivo di una correzione del firmware.

citrix bug CVE-2019-19781
citrix bug CVE-2019-19781



Il bug è stato segnalato da Mikhail Klyuchnikov, un ricercatore della società di sicurezza britannica Positive Technologies.

Klyuchnikov afferma che il bug riguarda 80.000 aziende in 158 paesi e potrebbe consentire a un aggressore remoto di compromettere una rete interna nel giro di un minuto.

“Se questa vulnerabilità viene sfruttata, gli aggressori ottengono l’accesso diretto alla rete locale dell’azienda da Internet. Questo attacco non richiede l’accesso ad alcun account e può quindi essere eseguito da qualsiasi aggressore esterno”.

Citrix non ha assegnato il bug con un punteggio di gravità, ma Positive Technologies ritiene che esso garantisca un punteggio di gravità di 10 su 10.

“Questa vulnerabilità riguarda tutte le versioni supportate del prodotto e tutte le piattaforme supportate, compresi Citrix ADC e Citrix Gateway 13.0, Citrix ADC e NetScaler Gateway 12.1, Citrix ADC e NetScaler Gateway 12.0, Citrix ADC e NetScaler Gateway 11.1, e anche Citrix NetScaler ADC e NetScaler Gateway 10.5”, nota la società di sicurezza.

 

Comunicazione Citrix.

“Citrix esorta vivamente i clienti interessati ad applicare immediatamente la mitigazione fornita. I clienti dovrebbero poi aggiornare tutte le loro appliance vulnerabili a una versione fissa del firmware dell’appliance una volta rilasciata”, ha osservato Citrix in un avviso.

Sta inoltre incoraggiando gli amministratori a sottoscrivere il bollettino di allarme per sapere quando il nuovo firmware è pronto.

Le istruzioni per la mitigazione

CTX267027

CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller and Citrix Gateway

Applicable Products
  • NetScaler
  • NetScaler Gateway
  • Citrix ADC
  • Citrix Gateway

Description of Problem

A vulnerability  has been identified in Citrix Application Delivery Controller (ADC) formerly known as NetScaler ADC and Citrix Gateway formerly known as NetScaler Gateway that, if exploited, could allow an unauthenticated attacker to perform arbitrary code execution.

The vulnerability has been assigned the following CVE number:

• CVE-2019-19781 : Vulnerability in Citrix Application Delivery Controller and Citrix Gateway leading to arbitrary code execution

The vulnerability affects all supported product versions and all supported platforms:

1 Citrix ADC and Citrix Gateway version 13.0 all supported builds

2 Citrix ADC and NetScaler Gateway version 12.1 all supported builds

3 Citrix ADC and NetScaler Gateway version 12.0 all supported builds

4 Citrix ADC and NetScaler Gateway version 11.1 all supported builds

5 Citrix NetScaler ADC and NetScaler Gateway version 10.5 all supported builds

 



What Customers Should Do

Citrix strongly urges affected customers to immediately apply the provided mitigation. Customers should then upgrade all of their vulnerable appliances to a fixed version of the appliance firmware when released. Subscribe to bulletin alerts at https://support.citrix.com/user/alerts  to be notified when the new firmware is available.

The following knowledge base article contains the steps to deploy a responder policy to mitigate the issue in the interim until a permanent fix is available: CTX267679 – Mitigation steps for CVE-2019-19781