随着攻击加剧，针对Citrix BUG发布的概念验证代码

前日开始，有针对CVE-2019-19781的公共概念验证漏洞利用代码公开，该漏洞是Citrix企业设备中的漏洞，可以使黑客接管设备并访问公司的内部网络。

该漏洞的严重程度已达到最高水平，并被视为近年来公开的最危险的错误之一。

此漏洞由较大的infosec社区命名代号为Shitrix，它可以影响到以前称为NetScaler ADC的Citrix应用程序交付控制器（ADC）和以前称为NetScaler Gateway的Citrix Gateway。

该BUG是一个路径遍历漏洞，攻击者可以通过互联网利用该漏洞。发起攻击时，攻击者不必为设备提供身份验证凭据。攻击者所需要做的就是向受攻击的Citrix设备发送一个诱骗请求，以及他们想要在设备上执行的攻击利用代码。

该漏洞已由英国安全公司Positive Technologies的研究员Mikhail Klyuchnikov发现并报告给Citrix。Klyuchnikov说，在他发现该漏洞时，有超过80,000个组织在运行易受攻击的Citrix实例。

一个月后仍然没有补丁

Citrix在12月17日为客户发布了安全公告，但该公司未发布补丁。Citrix而是发布了一个支持页面，以配置调整的形式详细描述了缓解措施。

大约一个月后，尽管漏洞的严重性和广泛的影响，Citrix仍未发布补丁。

同时，威胁参与者已开始弄清楚如何利用该漏洞-许多安全研究人员说，该漏洞是微不足道的，只需要几行代码。

运行蜜罐服务器的各种安全专家和网络安全公司表示，扫描已经进行了数周，利用尝试至少也已经开始了三天。

🚨 In my Citrix ADC honeypot, CVE-2019-19781 is being probed with attackers reading sensitive credential config files remotely using ../ directory traversal (a variant of this issue). So this is in the wild, active exploitation starting up. 🚨 https://t.co/pDZ2lplSBj

— Kevin Beaumont (@GossiTheDog) January 8, 2020

Hosts vulnerable to CVE-2019-19781 have already been enumerated by threat actors. Apply the mitigation ASAP!https://t.co/9MOvnSnjUb

— Bad Packets Report (@bad_packets) January 10, 2020

该BUG的严重性和对企业系统的明显危险并没被忽视。在过去的几周中，安全专家，政府官员，政府网络安全机构，CERT团队以及任何了解基本企业安全性的人都在警告企业，请使用Citrix缓解措施来防止攻击利用易受攻击的计算机，直到Citrix最终发布为止补丁形式的永久性修复。

he Citrix RCE is a doozie. Lots of good security architectures appropriately rely on Citrix to reduce the attack surface significantly and now they are at significant risk. Get this patched. https://t.co/7B9d7e7YK7

— Rob Joyce (@RGB_Lights) January 10, 2020

Can’t emphasize enough – please please please do the mitigation steps for the Citrix exploit as soon as possible.

This is going to be a really bad one folks.

Easy to automate and exploit and is widely used across the Internet.

Mitigation here: https://t.co/jeF0UC6A9V

— Dave Kennedy (ReL1K) (@HackingDave) January 11, 2020

I was able to reproduce the Citrix ADC Remote Command Execution in one day. Guess you need to patch ASAP. #CVE-2019-19781 #Citrix pic.twitter.com/KjsUOJQsLt

— Rio (@0x09AL) January 10, 2020

概念验证代码广泛可用

在过去几天中，攻击的强度一直在缓慢上升，但安全社区认为事情不会一发不可收拾，因为攻击者仍需要找出一种方法来利用容易受到攻击的Citrix系统，而缺乏公共利用。

上星期五晚，一群自称为“零印度计划”的安全研究人员发布了针对CVE-2019-19781漏洞的第一个概念验证（PoC）漏洞利用代码。

几个小时后，TrustedSec的团队使用了自己的PoC。TrustedSec团队本周早些时候开发了PoC，但拒绝发布它，因为它知道在Internet上发布代码会触发攻击尝试的高峰，这是他们不想做的。

TrustedSec在GitHub上对该工具的描述中说：“我们之所以公开此信息，是因为其他人先发布了漏洞利用代码。” “我们本来希望在防御者有适当时间修补其系统的同时将其隐藏一段时间。”

该安全公司希望公司使用其工具来测试其网络的易受攻击的Citrix实例，以及他们是否正确配置了Citrix缓解措施。

他们还发表了一篇博客文章，介绍如何分析Citrix系统是否存在任何可能的危害，以防万一某些公司不幸被黑客入侵。

在美国东部时间1月12日凌晨5点：在概念验证代码在线发布后的一篇博客文章中，Citrix承诺在月底之前提供CVE-2019-19781的补丁程序。

 

*编译：Domino

*来自：ZDNET