CVE-2019-13608

Citrix StoreFront Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Citrix StoreFront Server contains an XML External Entity (XXE) processing vulnerability that may allow an unauthenticated attacker to retrieve potentially sensitive information.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник может отправить на сервер StoreFront специально сформированный XML-запрос, содержащий ссылку на внешнюю сущность (XXE). Если обработка XML на сервере настроена некорректно, это позволит атакующему: * Читать произвольные файлы с файловой системы сервера (например, конфигурационные файлы). * Инициировать исходящие сетевые запросы с сервера (SSRF), что может привести к раскрытию данных из внутренней сети.

Как исправить

Установите официальный патч от Citrix. Уязвимость устранена в следующих версиях: * Citrix StoreFront 1903 и новее. * Citrix StoreFront 3.12.4000 и новее.

Конкретные действия: 1. Определите текущую установленную версию Citrix StoreFront через консоль управления или PowerShell. 2. Загрузите соответствующий установщик с обновлением с официального портала Citrix (требуется учетная запись). 3. Выполните установку обновления в соответствии с официальным руководством Citrix. Процесс обычно включает запуск CitrixStoreFront-x64.exe (или аналогичного) в режиме обновления.

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Настройка WAF (Web Application Firewall):

    • Настройте правила для блокировки HTTP-запросов, содержащих потенциально опасные XML-сущности (например, <!ENTITY, SYSTEM, PUBLIC).
    • Пример правила для ModSecurity (CRS): bash SecRule REQUEST_BODY "@rx <!ENTITY.*SYSTEM" \ "id:100001,\ phase:2,\ deny,\ status:403,\ msg:'XXE Attack Attempt'"

  2. Ограничение сетевого доступа:

    • Настройте групповые политики или брандмауэры (например, iptables/nftables на шлюзе) так, чтобы принимать входящие HTTP/HTTPS-запросы к StoreFront только из доверенных сетей (например, внутренней сети компании или пула терминальных серверов).
    • Пример для iptables (ограничение по IP-адресам): bash iptables -A INPUT -p tcp --dport 443 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP

  3. Мониторинг:

    • Включите детальное логирование всех запросов к веб-серверу (IIS) и регулярно анализируйте логи на предмет подозрительных XML-запросов.
    • Настройте алерты SIEM на появление в логах шаблонов, характерных для XXE (file://, http://internal, <!DOCTYPE).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей