info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

اکسپلویت برای آسیب‌پذیری وصله نشده!

خلاصه: سوءاستفاده‌های زیادی از آسیب‌پذیری اخیر محصولات سیتریکس به صورت عمومی منتشر شده است؛ هرچند تاکنون وصله‌ای برای این آسیب‌پذیری وجود ندارد ولی شرکت سیتریکس توصیه‌هایی برای کاهش آسیب‌پذیری ارائه داده است که باید اکنون آن‌ها را اعمال کنید.

 

برای جلوگیری از هک شدن از راه دور هیچوقت نباید از  نسخه‌های آسیب‌پذیر سیتریکس که  برای ارائه بهینه برنامه‌ها و تعدیل بار استفاده می‌شوند در  سرورهای سازمانی استفاده کرد.

امروز چندین گروه، کد سوءاستفاده PoC که به تازگی برای آسیب‌پذیری کدهای اجرایی از راه دور محصولات NetScaler ADC و gateway فاش شده بود را به صورت علنی منتشر کردند که به هر کسی امکان نفوذ و کنترل سیستم‌های سازمانی را می‌دهد.

درست قبل از کریسمس و تعطیلات پایان سال میلادی، سیتریکس اعلام کرد که محصولات ADC و Citrix Gateway  آسیب‌پذیر هستند. این آسیب‌پذیری که با شناسه CVE-2019-19781 شناخته می‌شود به مهاجم اجازه اجرای کد دلخواه روی سرورهای آسیب‌پذیر را می‌دهد.

سیتریکس تایید کرده که این آسیب­‌پذیری بر همه نسخه­‌های این نرم‌افزار تأثیر می‌گذارد:

  • Citrix ADC و citrix Gateway ورژن ۱۳
  • Citrix ADC و NetScaler Gateway ورژن ۱۲.۱  
  • Citrix ADC و NetScaler Gateway ورژن ۱۲.۰  
  • Citrix ADC و NetScaler Gateway ورژن ۱۱.۱  
  • Netscaler ADC و NetScaler Gateway ورژن ۱۲.۱  

این شرکت بدون انتشار هیچ گونه وصله امنیتی برای نرم‌افزارهای آسیب‌پذیر، این افشاگری را انجام داد. در عوض، توصیه‌هایی برای کاهش حملات به مدیران سازمان‌ها پیشنهاد داد و همچنان ۲۳ روز بعد از افشا هیچ وصله‌ای در دسترس نیست.

اولین حملات سایبری علیه سرورهای آسیب‌پذیر در هفته گذشته مشاهده شد که هکرها از مهندسی معکوس اطلاعات فاش شده سوءاستفاده و به سرورها حمله کردند. انتشار عمومی این آسیب‌پذیری باعث شده اجرای حملات سایبری علیه سرور سازمان‌های آسیب‌پذیر برای هکرهای کم مهارت هم آسان‌تر شود.

طبق گفته‌های شودان، در آن زمان بیش از ۱۲۵۴۰۰ سرور Citrix ADC و Gateway در دسترس عموم قرار داشت که در صورت آنلاین بودن می‌توانستند مورد سوءاستفاده قرار گیرند.

در حالی‌ که در روز گذشته در مورد جزئیات فنی این نقص در یک وبلاگ پستی منتشر شد، MDSsec نیز از وجود یک ویدیویی در مورد سوءاستفاده‌های انجام شده از آن‌ها خبر داد، اما تا این لحظه تصمیمی برای انتشار آن نگرفته است.

علاوه بر توصیه‌هایی که داده شده، مدیران سیتریکس پیشنهاد دادند که لاگ‌های دستگاه‌های دیگر نیز برای حملات کنترل شود.

همانطور که گفته شد تاکنون وصله‌ای برای این آسیب‌پذیری منتشر نشده ولی شرکت سیتریکس توصیه‌هایی برای کاهش آسیب‌پذیری ارائه داده است که باید اکنون آن‌ها را اعمال کنید که در ادامه توضیح داده می‌شود:

این مراحل نسبت به نحوه نصب سیستم متفاوت است. اما راه‌حل کلی آن به صورت زیر است.

enable ns feature responder add responder action respondwith403 respondwith "\"‎HTTP/1.‎1 403 Forbidden\r\n\r\n\"" add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/.‎.‎/\"‎))" respondwith403 bind responder global ctx267027 1 END -type REQ_OVERRIDE save config
 

همچنین پیشنهاد می‌شود در زمانی که وصله‌ها منتشر شد، برای دریافت هشدارهای امنیتی از سیتریکس در سرویس اطلاع‌رسانی این شرکت ثبت‌نام کنند.

پیشنهاد می‌شود همه‌ی مدیران، توصیه‌های ارائه شده را اعمال کنند و همچنین سیستم‌های IDS را برای جلوگیری از تهدیدات امنیتی پیکربندی نمایند.

پس از اعمال توصیه‌ها دستور زیر را اجرا کنید تا مطمئن شوید روند درست را طی کرده‌اید.

curl https://host/vpn/.‎.‎/vpns/cfg/smb.conf --path-as-is

اگر پاسخ ۴۰۳ را دریافت کردید، یعنی اقدامات انجام شده درست است و سیستم شما آسیب‌پذیر نیست، در غیر اینصورت اقدامات انجام شده اشتباه است و سیستم شما هنوز آسیب‌پذیر است.

    

تحت نظارت وف ایرانی