CVE-2019-19781

Citrix Application Delivery Controller (ADC), Gateway, and SD-WAN WANOP Appliance

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Citrix ADC, Citrix Gateway, and multiple Citrix SD-WAN WANOP appliance models contain an unspecified vulnerability that could allow an unauthenticated attacker to perform code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (Path Traversal) в веб-интерфейсе управления (порты 80/tcp, 443/tcp) позволяет неаутентифицированному удаленному злоумышленнику выполнить произвольный код на устройстве. Атакующий отправляет специально сформированный HTTP-запрос, который обходит проверки и записывает вредоносный файл (например, скрипт оболочки) в произвольное место на файловой системе, что приводит к RCE.

Временное решение

Если немедленное обновление невозможно, заблокируйте доступ к веб-интерфейсу управления извне и ограничьте его внутренними доверенными сетями.

  1. Настройка брандмауэра на самом Citrix ADC/Gateway:

    • Запретите входящие подключения к портам 80 и 443 (или порту управления) со всех сетей, кроме доверенных (например, сети администраторов). ```bash

    Пример для NetScaler (nstcp.ns) - команды выполняются в CLI устройства

    add ns acl ALLOW_MGMT_ALLOW srcIP = <trusted_admin_network> -destIP = <nsip> -destPort = 443 ALLOW add ns acl DENY_MGMT_DENY srcIP = 0.0.0.0 -destIP = <nsip> -destPort = 443 DENY apply ns acls `` * Где<trusted_admin_network>— ваша доверенная сеть (например, 10.10.10.0/24), а<nsip>` — IP-адрес управления устройства.

  2. Настройка внешнего брандмауэра/маршрутизатора:

    • Немедленно удалите правила, разрешающие входящий доступ из интернета (Any Source) на IP-адреса ваших устройств Citrix по портам 80/tcp и 443/tcp.

  3. Использование WAF:

    • Разверните или настройте правила в имеющемся WAF (например, Citrix Web App Firewall, F5, Imperva) для блокировки запросов, содержащих пути с последовательностями ../ (Path Traversal) в URL или теле запроса к уязвимым эндпоинтам (/vpns/, /vpn/).

Как исправить

Установите официальный патч от Citrix. Версия зависит от основной версии прошивки вашего устройства.

  1. Определите текущую версию: bash # В CLI устройства выполните show version

  2. Установите обновление, соответствующее вашей ветке:

    • Для ветки 11.1: Обновитесь до сборки 11.1.63.15 или новее.
    • Для ветки 12.0: Обновитесь до сборки 12.0.63.13 или новее.
    • Для ветки 12.1: Обновитесь до сборки 12.1.55.18 или новее.
    • Для ветки 13.0: Обновитесь до сборки 13.0.47.24 или новее.

    Процесс обновления (пример для 13.0): ```bash

    1. Загрузите файл обновления (build 13.0.47.24) на устройство, например, через SCP.

    2. Установите его через CLI.

    install sysupgrade -f /var/nsinstall/ns-13.0-47.24_nc.tgz

    3. Перезагрузите устройство после успешной установки.

    reboot ```

    Важно: Все промежуточные исправления (mitigations), выпущенные ранее, должны быть удалены перед установкой финального патча. Следуйте официальному руководству Citrix.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей