Campagne de détection d’une vulnérabilité dans les produits Citrix ADC et Citrix Gateway

Une vulnérabilité a été identifiée dans les solutions Citrix Application Delivery Controller (ADC), anciennement connu sous le nom de NetScaler ADC, et Citrix Gateway, anciennement connu sous le nom de NetScaler Gateway.

La CVE-2019-19781 [Score CVSS v3 : 9.8] a été assignée pour cette vulnérabilité mais aucun détail technique n'a encore été publié. Cependant, l'éditeur a annoncé qu'elle permettait à un attaquant non authentifié d'exécuter du code arbitraire à distance.

À ce jour, le correctif n’est pas disponible mais une solution palliative est documentée sur le site de l’éditeur (voir la section Contournement Provisoire). La cellule ACSS recommande d’appliquer cette solution de contournement rapidement, en attendant la mise à disposition du correctif de sécurité.

/!\ Selon le CERT-FR, une campagne de détection de cette vulnérabilité aurait lieu actuellement. Une campagne de détection fait partie de la phase de reconnaissance qui est préalable à la phase d’exploitation. /!\

/!\ Un code d'exploitation est disponible publiquement pour cette vulnérabilité. /!\
 

Risques
+

 Exécution de code arbitraire à distance


Vecteurs d'infection
+

Internet


Systèmes affectés
+
  • Citrix ADC et Citrix Gateway version 13.0
  • Citrix ADC et NetScaler Gateway version 12.1
  • Citrix ADC et NetScaler Gateway version 12.0
  • Citrix ADC et NetScaler Gateway version 11.1
  • Citrix NetScaler ADC et NetScaler Gateway version 10.5

Contournement provisoire
+

Citrix a publié la solution de contournement ici. Elle consiste à ajouter une règle de filtrage pour bloquer certaines requêtes http mal formées. Cette solution palliative ne sera efficace que si l’ensemble des prérequis documentés dans la section « Additional Information » sont respectés.


Solutions
+

Le 11 janvier 2020, Citrix a publié les dates de disponibilités des correctifs qui sont les suivantes :

  • le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
  • le 27 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x
  • le 31 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x