ALERTE CERTFR - 2020 - ALE - 002
Publié le 9 janvier 2020 à 17h51 - Mis à jour le 31 janvier 2025 à 11h50
Objet
Vulnérabilité dans les produits Citrix ADC et Citrix Gateway
Référence
CERTFR-2020-ALE-002
Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- Citrix ADC et Citrix Gateway version 13.0 et antérieures
- Citrix ADC et NetScaler Gateway version 12.1 et antérieures
- Citrix ADC et NetScaler Gateway version 12.0 et antérieures
- Citrix ADC et NetScaler Gateway version 11.1 et antérieures
- Citrix NetScaler ADC et NetScaler Gateway version 10.5 et antérieures
- Citrix SD-WAN WANOP versions antérieures à 11.1.63
Résumé
[Mise à jour du 17 janvier 2020]
Le 16 janvier 2020, Citrix a mis à jour son bulletin de sécurité concernant la vulnérabilité CVE-2019-19781.
Citrix annonce que la mesure de contournement proposée en attendant la sortie des correctifs ne fonctionne pas pour les versions 12.1.x suivantes :
- Citrix ADC et NetScaler Gateway versions 12.1.51.16 à 12.1.51.19
- Citrix ADC et NetScaler Gateway versions 12.1.50.31
Citrix recommande de migrer vers une version sur laquelle il est possible d'appliquer la mesure de contournement.
Citrix a également annoncé que les modèles Citrix SD-WAN WANOP 4000, 4100, 5000 et 5100 sont également affecté par la vulnérabilité CVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020 pour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.
Enfin, Citrix a fourni un outil en Python afin de tester si son équipement est vulnérable : https://support.citrix.com/article/CTX269180
De manière générale, le CERT-FR recommande d'étudier la possibilité de déconnecter les serveurs Citrix concernés en attendant la mise à jour.
[Mise à jour du 13 janvier 2020]
Des codes d'exploitation ont été publiés dans la nuit du 10 au 11 janvier 2020. Leur utilisation a été rapportée par plusieurs sources publiques.
Le 11 janvier 2020, Citrix a publié les dates de disponibilités des correctifs qui sont les suivantes :
- le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
- le 27 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x
- le 31 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x
Le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2019-19781 affectant les logiciels Citrix ADC et Citrix Gateway. Une campagne de détection fait partie de la phase de reconnaissance qui est préalable à la phase d'exploitation.
Pour rappel, la vulnérabilité CVE-2019-19781 permet une exécution de code arbitraire à distance. Citrix n'a pas encore publié de correctif de sécurité mais a proposé des mesures de contournements (cf. section Documentation).
Dans l'attente de la publication d'un correctif, le CERT-FR recommande fortement l'application des mesures de contournement.
Contournement provisoire
Se référer au bulletin de sécurité de l'éditeur pour l'obtention du contournement (cf. section Documentation).
Documentation
- [1] Bulletin de sécurité Citrix CTX267027 du 17 décembre 2019 : https://support.citrix.com/article/CTX267027
- [2] Descriptif du contournement à appliquer en date du 17 décembre 2019 : https://support.citrix.com/article/CTX267679
- [3] Avis CERT-FR CERTFR-2019-AVI-640 du 18 décembre 2019 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/
- [4] Référence CVE CVE-2019-19781 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781