در روز جمعه ، 10 ژانویه ، 2020 ، سایت های عزیز ما اسکن انبوه فرصت طلب را از یک سرور مهاجم آلمانی Citrix Application Delivery Controller (ADC) و سرورهای Citrix Gateway (که به عنوان NetScaler Gateway نیز شناخته می شوند) در معرض آسیب دیدگی CVE-2019-19781 قرار دادند. این آسیب پذیری مهم به مهاجمین از راه دور غیرمجاز اجازه می دهد دستوراتی را در سرور هدف اجرا کنند که هرگونه نقص فایل خواندن / نوشتن همراه بوده است (انتقال به دایرکتوری).
اسکن دسته جمعی از 82.102.16.220 (🇩🇪) در حال بررسی میزان آسیب پذیری نقاط انتهایی Citrix NetScaler Gateway به CVE-2019-19781 کشف شد.
به سازمان های آسیب دیده توصیه می شود اقدامات كاهش میزان ارائه شده توسط سیتریكس را انجام دهند زیرا هنوز هیچ پستی وجود ندارد. https://t.co/weFVYpEWi2لاف19459007poz#threatintelociation19659004 45pp.twitter.com/mTfky68JEhapes19659005 تحت Report گزارش بسته های بد (bad_packets) 10 ژانویه 2020
فعالیت شناسایی شده از 82.10 .16.220 سعی در بارگیری پرونده "smb.conf" داشت. به نظر نمی رسد که این پرونده پیکربندی به طور پیش فرض حاوی اطلاعات بسیار حساس باشد ، با این حال ، پاسخ اسکن موفقیت آمیز نشان می دهد که سرور هدف در برابر حملات بیشتر آسیب پذیر است.
با توجه به فعالیت شناسایی شده اسکن این احتمالاً مهاجمان تمام نقاط Citrix ADC و Citrix (NetScaler) در دسترس عموم را محاسبه کرده و در معرض خطر CVE-2019-19781 قرار گرفته اند.
چند میزبان در برابر CVE-2019-19781 آسیب پذیر هستند؟
با استفاده از داده های ارائه شده توسط BinaryEdge ، ما بیش از 60،000 نقطه انتهایی Citrix را اسکن کردیم تا مشخص کنیم کدام یک از آنها آسیب پذیر هستند. در روز شنبه ، 11 ژانویه سال 2020 ، اسکن های ما در مجموع 25121 میزبان منحصر به فرد در سراسر جهان در معرض خطر CVE-2019-19781 ردیابی کردند. از این نتایج ، ما 18 155 گواهی SSL با نام دامنه منحصر به فرد را فهرست بندی کرده ایم.
هیچ اطلاعات حساسی در هنگام اسکن فاش نشده یا ثبت نشده است زیرا ما فقط یک درخواست HTTP HEAD برای تأیید آسیب پذیری ارسال کردیم.
سرورهای آسیب پذیر در کجا قرار دارند؟
میزبان های حساس در 122 کشور جهان یافت شد.
این نقشه تعاملی تعداد کل میزبان های آسیب پذیر را که در هر کشور یافت می شود نشان می دهد. به طور کلی ، حساس ترین نقاط انتهایی Citrix در ایالات متحده بود.
چه نوع سازمانی تحت تأثیر CVE-2019-19781 قرار دارد؟
مشخص شد که 4576 سیستم خودگردان منحصر به فرد (ارائه دهنده شبکه) دارای نقاط پایانی حساس Citrix در شبکه خود هستند. ما دریافتیم که این شکاف در حال حاضر تأثیر می گذارد:
- آژانس های دولتی نظامی ، فدرال ، ایالتی و دولتی
- دانشگاه ها و مدارس دولتی
- بیمارستان ها و ارائه دهندگان مراقبت های بهداشتی
- خدمات برق و تعاونی ها
- مؤسسات مهم مالی و موسسات بانکی
- شركت های بیشمار Fortune 500
CVE-2019-19781 چگونه استفاده می شود و خطر چیست؟
یک مهاجم می تواند با استفاده از کد تأیید مفهوم در دسترس عموم از این آسیب پذیری مهم سوء استفاده کند. روش های مختلفی که نشان دهنده استفاده از CVE-2019-19781 است توسط Project Zero India و TrustedSec در GitHub منتشر شده است. یک راهنمای پزشکی قانونی در دسترس است که اطلاعات دقیق در مورد بررسی سرورهای Citrix را برای اثبات سازش در اختیار شما قرار می دهد.
سوء استفاده بیشتر از این آسیب پذیری می تواند برای پخش باج افزار (مشابه CVE-2019-11510) و استخراج بدافزارهای رمزنگاری شده در شبکه های حساس استفاده شود. اگر همین بازیگر چندین سرور را تهدید کند ، می توانند برای فعالیتهای مخرب هماهنگ مانند حملات DDoS مسلح شوند.
اظهارات نهایی
Citrix لیستی از محصولات تحت تأثیر CVE-2019-19781 را ارائه کرده است. سازمانهایی که از سرورهای حساس Citrix ADC و Citrix (NetScaler) Gateway استفاده می کنند ، باید سریعاً اقدامات کاهش خطر را برای جلوگیری از سازش انجام دهند. هنوز هیچ پستی برای این آسیب پذیری وجود ندارد ، اما Citrix انتظار دارد تا پایان ژانویه سال 2020 بروزرسانی سیستم عامل را منتشر کند. با توجه به اهمیت (نمره CVSS: 9.8) همراه با خطر دسترسی غیرمجاز به شبکه های خصوصی ، دیگر فرصتی برای اقدام وجود ندارد قبل از اینکه تهدید کنندگان شروع به استفاده از سرورهای حساس کنند.
با توجه به ظرافت این آسیب پذیری ، نقاط پایانی Citrix که توسط اسکنهای ما شناسایی می شوند ، عمومی نمی شوند. با این حال ، این لیست برای بررسی مجوزهای CERT ، CSIRT ، ISAC و آژانسهای اجرای قانون مجاز است. عضویت تیم اول ترجیح داده می شود اما مورد نیاز نیست. کانال میزبان که فعالیت اسکن و سوءاستفاده مربوط به CVE-2019-19781 را انجام می دهد در دسترس مشتریان و تحقیقات CTI ما می باشد. مجوزهای تجاری نیز برای داده های آسیب پذیری ما موجود است ، برای اطلاعات بیشتر با ما تماس بگیرید.
ما یافته های خود را مستقیماً با US-CERT (CISA / DHS) و سایر سازمان های اجرای قانون فدرال ایالات متحده برای تحقیقات و اصلاح بیشتر به اشتراک گذاشتیم. علاوه بر این ، ما به این سازمان ها اطلاع داده ایم: MS-ISAC ، CERT-Bund ، NCSC ، GovCERT.ch، ACSC، NCSC-NL، NCIS، CCCS، CERT.at، CERT.be، CCN-CERT، CERT-SE، CERT NZ، DKCERT، JPCERT / CC ، CERT Nazionale Italia ، CERT-FR (ANSSI) و NorCERT. با ارسال اعلان ها از طریق بسته های بد ، این لیست مرتباً به روز می شود.
