Код підтвердження концепції, опублікований для помилки Citrix, оскільки атаки посилюються

Починаючи з учорашнього дня, тепер існує загальнодоступний код експлойту для підтвердження концепції CVE-2019-19781, вразливість у корпоративному обладнанні Citrix, яка може дозволити хакерам заволодіти пристроями та отримати доступ до внутрішніх мереж компаній.

Ця вразливість настільки серйозна, що її можна назвати однією з найнебезпечніших помилок, виявлених за останні роки.

Ця вразливість має кодову назву Shitrix від широкого інформаційного співтовариства Контролер доставки додатків Citrix (ADC), раніше відомий як NetScaler ADC, і Шлюз Citrix, раніше відомий як NetScaler Gateway.

Уразливість — це помилка проходження шляху, якою зловмисник може скористатися через Інтернет. Під час атаки зловмиснику не потрібно надавати облікові дані для автентифікації пристрою. Все, що зловмисник повинен зробити, це надіслати запит на заміну на вразливий пристрій Citrix разом із кодом експлойту, який він хоче виконати на пристрої.

Помилку виявив і повідомив Citrix Михайло Ключников, дослідник британської охоронної компанії Positive Technologies. Ключников сказав, що на момент виявлення помилки понад 80 000 організацій використовували вразливі екземпляри Citrix.

Майже місяць потому все ще немає патча

17 грудня Citrix випустила a порада з безпеки для своїх клієнтів, але компанія не випустила патч. Натомість Citrix опублікував сторінка підтримки з детальним описом пом’якшення у вигляді коригування конфігурації.

Майже місяць потому Citrix так і не випустила виправлення, незважаючи на серйозність помилки та її вплив.

Тим часом суб’єкти загрози почали з’ясовувати, як використати цю помилку, яка, за словами багатьох дослідників безпеки, була тривіальною та потребувала лише кількох рядків коду.

За даними різних експертів з безпеки та компаній з кібербезпеки, які керують серверами honeypot, перевірки тривають тижнями, але спроби використання також почалися протягом щонайменше трьох днів.

🚨 У моїй приманці Citrix ADC перевіряється CVE-2019-19781 за допомогою зловмисників, які дистанційно читають конфігураційні файли конфіденційних облікових даних за допомогою проходження каталогу ../ (варіант цієї проблеми). Отже, це в дикій природі, починається активна експлуатація. 🚨 https://t.co/pDZ2lplSBj

— Кевін Бомонт (@GossiTheDog) 8 січня 2020 р

Хости, вразливі до CVE-2019-19781, уже перераховані суб’єктами загрози. Застосуйте пом'якшення якомога швидше!https://t.co/9MOvnSnjUb

— Звіт про погані пакети (@bad_packets) 10 січня 2020 р

Серйозність помилки та явна небезпека для корпоративних систем не залишилися непоміченими. Протягом останніх кількох тижнів експерти з безпеки, державні службовці, державні агентства з кібербезпеки, команди CERT і будь-хто під сонцем, хто розуміє основи підприємства системи безпеки попереджають компанії застосовувати засоби пом’якшення Citrix, щоб запобігти атакам із використанням уразливих машин, доки Citrix нарешті не випустить постійне виправлення у формі патч.

Citrix RCE - це дурачок. Багато хороших архітектур безпеки належним чином покладаються на Citrix для значного зменшення поверхні атаки, і тепер вони піддаються значному ризику. Виправте це. https://t.co/7B9d7e7YK7

— Роб Джойс (@RGB_Lights) 10 січня 2020 р

Не можу підкреслити достатньо - будь ласка, будь ласка, будь ласка, виконайте кроки пом’якшення експлойту Citrix якомога швидше.
Це буде дуже погано, люди.
Легко автоматизувати та використовувати та широко використовується в Інтернеті.
Пом'якшення тут: https://t.co/jeF0UC6A9V

— Дейв Кеннеді (ReL1K) (@HackingDave) 11 січня 2020 р

Мені вдалося відтворити віддалене виконання команд Citrix ADC за один день. Гадаю, вам потрібно якнайшвидше виправити. #CVE-2019-19781 #Citrixpic.twitter.com/KjsUOJQsLt

— Ріо (@0x09AL) 10 січня 2020 р

Широкодоступний код підтвердження концепції

Незважаючи на те, що протягом останніх кількох днів інтенсивність атак повільно зростала, спільнота безпеки вірила, що нічого не відбудеться вийти з-під контролю, оскільки зловмисникам все одно потрібно буде знайти спосіб використовувати вразливі системи Citrix, за відсутності загальнодоступного експлуатувати.

Ситуація змінилася вчора, у п’ятницю ввечері, коли група дослідників безпеки, які називають себе Project Zero India, випустила перший код експлойту для підтвердження концепції (PoC). для уразливості CVE-2019-19781.

Через кілька годин команда TrustedSec пішла за ними з власним PoC. Команда TrustedSec розробила свій PoC на початку цього тижня, але відмовилася його оприлюднити, оскільки знала про це публікація коду в Інтернеті спровокувала б сплеск спроб експлуатації, чого вони не хотіли робити.

«Ми розкриваємо це лише тому, що інші опублікували код експлойту першими», — йдеться в описі інструменту TrustedSec на GitHub. «Ми сподівалися, що це буде приховано ще деякий час, поки захисники матимуть відповідний час, щоб виправити свої системи».

Фірма безпеки сподівається, що компанії використовуватимуть їхній інструмент для перевірки своїх мереж на наявність уразливих екземплярів Citrix і чи правильно вони налаштували захист Citrix.

Вони також опублікували допис у блозі як аналізувати системи Citrix на наявність будь-якого можливого компромісу, на випадок, якщо деяким компаніям пощастило бути вже зламаними.

Додаткові технічні коментарі, що аналізують помилку Citrix: Позитивні технології, MDSec, TrustedSec.

Оновлено 12 січня, 5 ранку за східним часом:У дописі в блозі Після публікації коду підтвердження концепції в Інтернеті Citrix пообіцяла виправлення для CVE-2019-19781 до кінця місяця.