Vulnérabilité permettant une exécution de code arbitraire affectant les solutions Citrix

Une vulnérabilité a été identifiée dans les solutions Citrix Application Delivery Controller (ADC), anciennement connu sous le nom de NetScaler ADC, et Citrix Gateway, anciennement connu sous le nom de NetScaler Gateway.

La CVE-2019-19781 [Score CVSS v3 : 9.8] a été assignée pour cette vulnérabilité mais aucun détail technique n'a encore été publié. Cependant, l'éditeur a annoncé qu'elle permettait à un attaquant non authentifié d'exécuter du code arbitraire à distance.

À ce jour, le correctif n’est pas encore disponible mais une solution palliative est documentée sur le site de l’éditeur (voir la section Recommandations). La cellule ACSS recommande d’appliquer cette solution de contournement rapidement, en attendant la mise à disposition du correctif de sécurité.

Informations
+

Risques

  • Exécution de code arbitraire à distance

Criticité

  • Score CVSS v3 : 9.8 (Critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Un code d'exploitation est disponible publiquement

Composants & versions vulnérables: 

  • Citrix ADC et Citrix Gateway version 13.0
  • Citrix ADC et NetScaler Gateway version 12.1
  • Citrix ADC et NetScaler Gateway version 12.0
  • Citrix ADC et NetScaler Gateway version 11.1
  • Citrix NetScaler ADC et NetScaler Gateway version 10.5

CVE


Recommandations
+

Mise en place de correctif de sécurité 

  • Les correctifs de sécurité seront publiés :

- le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x

- le 27 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x

- le 31 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x

Solution de contournement

  • Citrix a publié la solution de contournement ici. Elle consiste à ajouter une règle de filtrage pour bloquer certaines requêtes http mal formées. Cette solution palliative ne sera efficace que si l’ensemble des prérequis documentés dans la section « Additional Information » sont respectés.