複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起

 JPCERT/CCからの「複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0003
JPCERT/CC
2020-01-17
<<< JPCERT/CC Alert 2020-01-17 >>>
複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200003.html

I.概要

JPCERT/CC では、Citrix Application Delivery Controller および Citrix Gatewayの脆弱性 (CVE-2019-19781) について、脆弱性に対する実証コードなどの詳細な情報が公表されていることを確認しています。本脆弱性を悪用された場合、遠隔の第三者が任意のコードを実行する可能性があります。

本脆弱性について、Bad Packets 社より 2020年1月12日 (現地時間) に、脆弱性の悪用を狙ったとみられるスキャンを確認したとの情報が公開されました。
Bad Packets

Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/

JPCERT/CC は、本脆弱性の悪用を目的とすると思われる通信をセンサで観測しており、日本国内でも本脆弱性を悪用したと思われる攻撃が既に行われていることを確認しています。また、JPCERT/CC では、海外の組織などから届けられた情報に基づき、対象の製品を使用しているとみられる組織に通知を行っています。対象の製品を使用している場合、早急に対策を実施することを推奨します。

II.対象

本脆弱性の対象となる製品およびバージョンは次のとおりです。

– Citrix ADC および Citrix Gateway version 13.0

– Citrix ADC および NetScaler Gateway version 12.1
– Citrix ADC および NetScaler Gateway version 12.0
– Citrix ADC および NetScaler Gateway version 11.1
– Citrix NetScaler ADC および NetScaler Gateway version 10.5
– Citrix SD-WAN WANOP software および appliance model 4000
– Citrix SD-WAN WANOP software および appliance model 4100
– Citrix SD-WAN WANOP software および appliance model 5000
– Citrix SD-WAN WANOP software および appliance model 5100

III.侵害有無の確認

本脆弱性の侵害有無を確認する方法は次のとおりです。

(1) 機器に対して不審な IP アドレスからのアクセスがないか確認する
– 機器に対する HTTP 通信のログは httpaccess.log や httperror.log に記録されるとのことです。
(2) 機器のログに脆弱性を悪用する通信が記録されていないか確認する
– 本脆弱性を悪用する実証コードを実行した場合、以下のような文字列を含む通信が機器に対して行われます。
/vpns/

/vpn/../vpns/cfg/smb.conf
/vpn/../vpns/portal/scripts/newbm.pl
/vpn/../vpns/portal/backdoor.xml
/vpns/portal/scripts/newbm.pl

(3) 機器の下記ディレクトリ配下のファイルを確認する
– 最近作成された、心当たりのない xml ファイルが存在する場合、当該ファイルは攻撃者により作成された悪意のあるファイルで、既に当該機器を悪用する攻撃が行われた可能性があります。
/var/tmp/netscaler/portal/templates

/netscaler/portal/templates

(4) 機器のプロセスや cron job を確認する
– 機器で次のようなコマンドを実行し、「nobody」というユーザにより稼働しているプロセスや cron job がないか確認する。
– 本脆弱性が悪用されると、「nobody」というユーザによりプロセスなどが実行されるため、こうしたプロセスなどが稼働している場合は既に当該機器を悪用する攻撃が行われた可能性があります。

IV. 対策

2020年1月17日現在、Citrix 社から修正済みのバージョンは提供されていません。
「V. 緩和策」の実施、または当該製品の使用停止を検討してください。

また Citrix 社によると、下記日程で修正バージョンを提供予定とのことです。
 - 2020年1月20日(米国時間)

– Citrix ADC および NetScaler Gateway version 12.0
– Citrix ADC および NetScaler Gateway version 11.1

 - 2020年1月27日(米国時間)

– Citrix ADC および Citrix Gateway version 13.0
– Citrix ADC および NetScaler Gateway version 12.1
– Citrix SD-WAN WANOP software および appliance model 4000
– Citrix SD-WAN WANOP software および appliance model 4100
– Citrix SD-WAN WANOP software および appliance model 5000
– Citrix SD-WAN WANOP software および appliance model 5100

 - 2020年1月31日(米国時間)

– Citrix NetScaler ADC および NetScaler Gateway version 10.5

V. 緩和策

次の緩和策の実施を検討してください。

– ファイアウォール等による不要な通信の制限

– Citrix 社が公開している設定変更の適用

Citrix

Mitigation Steps for CVE-2019-19781
https://support.citrix.com/article/CTX267679

※Citrix 社の情報によると、Citrix ADC version 12.1 ビルド 51.16,51.19および 50.31 より前のビルドには不具合があり、緩和策の設定が適用されないとのことです。緩和策を適切に適用するために、本不具合の影響を受けないビルドに更新することを推奨します。

VI. 参考情報

Citrix
CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance
https://support.citrix.com/article/CTX267027

Japan Vulnerability Notes JVNVU#92281641

Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU92281641/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ
TEL:03-6811-0610 MAIL: