Accueil > Alertes CERT-MC > ALERTE CERTFR - 2020 - ALE - 002

ALERTE CERTFR - 2020 - ALE - 002

Objet : Vulnérabilité dans les produits Citrix ADC et Citrix Gateway

Référence : CERTFR-2020-ALE-002

Risque(s)

- Exécution de code arbitraire à distance

Systèmes affectés

- Citrix ADC et Citrix Gateway version 13.0 et antérieures
- Citrix ADC et NetScaler Gateway version 12.1 et antérieures
- Citrix ADC et NetScaler Gateway version 12.0 et antérieures
- Citrix ADC et NetScaler Gateway version 11.1 et antérieures
- Citrix NetScaler ADC et NetScaler Gateway version 10.5 et antérieures
- Citrix SD-WAN WANOP versions antérieures à 11.1.63

Résumé

[Mise à jour du 17 janvier 2020]

Le 16 janvier 2020, Citrix a mis à jour son bulletin de sécurité concernant la vulnérabilité CVE-2019-19781.

Citrix annonce que la mesure de contournement proposée en attendant la sortie des correctifs ne fonctionne pas pour les versions 12.1.x suivantes:

- Citrix ADC et NetScaler Gateway versions 12.1.51.16 à 12.1.51.19
- Citrix ADC et NetScaler Gateway versions 12.1.50.31

Citrix recommande de migrer vers une version sur laquelle il est possible d'appliquer la mesure de contournement.

Citrix a également annoncé que les modèles Citrix SD-WAN WANOP 4000, 4100, 5000 et 5100 sont également affecté par la vulnérabilité CVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020 pour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.

Enfin, Citrix a fourni un outil en Python afin de tester si son équipement est vulnérable : https://support.citrix.com/article/CTX269180  

De manière générale, le CERT-FR recommande d'étudier la possibilité de déconnecter les serveurs Citrix concernés en attendant la mise à jour.

[Mise à jour du 13 janvier 2020]

Des codes d'exploitation ont été publiés dans la nuit du 10 au 11 janvier 2020. Leur utilisation a été rapportée par plusieurs sources publiques.

Le 11 janvier 2020, Citrix a publié les dates de disponibilités des correctifs qui sont les suivantes :

- le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
- le 27 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x
- le 31 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x

Le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2019-19781 affectant les logiciels Citrix ADC et Citrix Gateway. Une campagne de détection fait partie de la phase de reconnaissance qui est préalable à la phase d'exploitation.

Pour rappel, la vulnérabilité CVE-2019-19781 permet une exécution de code arbitraire à distance. Citrix n'a pas encore publié de correctif de sécurité mais a proposé des mesures de contournements (cf. section Documentation).

Dans l'attente de la publication d'un correctif, le CERT-FR recommande fortement l'application des mesures de contournement.

Contournement provisoire

Se référer au bulletin de sécurité de l'éditeur pour l'obtention du contournement (cf. section Documentation).

Documentation

- [1] Bulletin de sécurité Citrix CTX267027 du 17 décembre 2019
https://support.citrix.com/article/CTX267027  
- [2] Descriptif du contournement à appliquer en date du 17 décembre 2019
https://support.citrix.com/article/CTX267679  
- [3] Avis CERT-FR CERTFR-2019-AVI-640 du 18 décembre 2019
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/  
- [4] Référence CVE CVE-2019-19781
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-002/  

AVIS CERTFR - 2020 - AVI - 045

17 janvier 2020
actualite

Objet : Multiples vulnérabilités dans Oracle WeblogicRéférence : CERTFR-2020-AVI-045Risque(s) - Exécution de code arbitraire à distance - Déni de s... Lire la suite[+]

AVIS CERTFR - 2020 - AVI - 044

17 janvier 2020
actualite

Objet : Vulnérabilité dans Cisco Application Policy Infrastructure ControllerRéférence : CERTFR-2020-AVI-044Risque(s)- Élévation de privilègesSystè... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC oiv
//amsn.gouv.mc/Alertes-CERT-MC/ALERTE-CERTFR-2020-ALE-002