CVE-2019-19781
CLOSED
KEV
CVSS 9.300000190734863 CRITICAL
<strong>\[Mise à jour du 26 juin 2020\]</strong>
Le CERT-FR a pris connaissance de <strong>compromissions récentes</strong> de
serveurs Citrix dans le cadre d'attaques ciblées. Il est rappelé que la
vulnérabilité affecte tous les systèmes déclarés ci-dessus, <strong>même si la
fonctionnalité VPN n'est pas activée</strong>.
Le CERT-FR rappelle donc qu'il est <strong>impératif</strong> de :
- Procéder <u>sans attendre</u> à la mise à jour de vos serveurs
Citrix en respectant la procédure standard de l’éditeur :
réinstallation complète des serveurs puis restauration d’une
configuration à partir d’une sauvegarde antérieure au 10 janvier
2020 ;
- Révoquer et renouveler les certificats x509 déployés sur ces
serveurs ainsi que sur tous les équipements qui les utilisent
également (certificats multi-domaines par exemple);
- <span style="color: #000000;">Modifier les mots de passe des
administrateurs et des utilisateurs qui utilisent le service
Citrix ;</span>
- <span style="color: #000000;">Modifier les mots de passe des comptes
techniques configurés sur l’équipement (compte LDAP, compte Radius,
compte Active Directory, etc.) ;</span>
D’autre part, l’exposition sur Internet augmente les opportunités
d’attaque visant à usurper l’identité d’un utilisateur nomade si le
processus d’authentification n’est pas suffisamment robuste. Le CERT-FR
recommande donc la mise en œuvre d’une authentification à double facteur
afin de réduire ce risque.
Enfin, nous vous recommandons la lecture du bulletin CERTFR-2020-ACT-001
\[5\] sur la sécurisation des services exposés sur Internet.
<strong>\[Mise à jour du 30 janvier 2020\]</strong>
Le CERT-FR a pris connaissance de la compromission de clés privées sur
des serveurs hébergeant le logiciel Citrix vulnérable. Ces clés privées
sont pour certaines, associées à des certificats multi-domaines
(*wildcard*).
Par conséquence, les attaquants sont en mesure d'usurper l'identité des
services sécurisés pour l'ensemble des domaines et sous-domaines
concernés.
Le CERT-FR recommande donc fortement d'appliquer les mesures de
prévention suivantes :
1. renouveler l'ensemble des éléments secrets stockés sur la machine et
entreprendre les actions appropriées en conséquence ;
2. révoquer les certificats potentiellement compromis ;
3. étudier la possibilité de limiter la portée des certificats
*multi-domaines* pour limiter l'impact d'une future compromission ;
4. renouveler les certificats sur les serveurs hébergeant le logiciel
Citrix ainsi que tout autre serveur utilisant les certificats
multi-domaines présents sur les serveurs hébergeants le logiciel
compromis.
Le CERT-FR recommande également de complètement réinstaller les serveurs
Citrix avant d'appliquer la mise à jour afin de repartir d'une base
saine. Pour ce faire, il est aussi conseillé d'utiliser une sauvegarde
de la configuration antérieure à décembre 2019.
<strong>\[Mise à jour du 27 janvier 2020\]</strong>
Les correctifs pour toutes les versions supportées sont disponibles. Le
CERT-FR recommande de les installer dans les plus brefs délais.
<strong>\[Mise à jour du 23 janvier 2020\]</strong>
Le 22 janvier 2020, Citrix a fourni, en collaboration avec FireEye, un
outil qui tente de rechercher des possibles exploitations de la
vulnérabilité CVE-2019-19781. Contrairement à l'outil fourni le 17
janvier qui permet de rechercher des machines vulnérables sur le réseau,
il doit être lancé en local.
FireEye indique que l'outil doit être lancé avec les privilèges
administrateur et ne garantit pas de repérer toutes les compromissions.
L'outil est présenté sur le site de
[FireEye](https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html)
et est disponible sur
[GitHub](https://github.com/fireeye/ioc-scanner-CVE-2019-19781/releases/tag/v1.0).
<strong>\[Mise à jour du 20 janvier 2020\]</strong>
Le 19 janvier 2020, Citrix a publié les correctifs pour les versions
12.0.x et 11.1.x.
La date de disponibilité des correctifs pour les autres versions a
également été avancée au 24 janvier 2020.
Concernant les versions pour lesquelles certaines mesures de
contournement ne fonctionnent pas, Citrix a clarifié sa position. Seule
la version "*12.1 build 50.28*" est affectée. Il est recommandé dans ce
cas de migrer vers la version "*12.1 build 50.28/50.31"* ou une version
ultérieure*.*
<strong>\[Mise à jour du 17 janvier 2020\]</strong>
Le 16 janvier 2020, Citrix a mis à jour son bulletin de sécurité
concernant la vulnérabilité CVE-2019-19781.
<s>Citrix annonce que la mesure de contournement proposée en attendant
la sortie des correctifs ne fonctionne pas pour les versions 12.1.x
suivantes:</s>
- <s>Citrix ADC et NetScaler Gateway versions 12.1.51.16 à
12.1.51.19</s>
- <s>Citrix ADC et NetScaler Gateway versions 12.1.50.31</s>
Citrix recommande de migrer vers une version sur laquelle il est
possible d'appliquer la mesure de contournement.
Citrix a également annoncé que les modèles Citrix SD-WAN WANOP 4000,
4100, 5000 et 5100 sont également affecté par la vulnérabilité
CVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020
pour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.
Enfin, Citrix a fourni un outil en Python afin de tester si son
équipement est vulnérable
: <https://support.citrix.com/article/CTX269180>
De manière générale, le CERT-FR recommande d'étudier la possibilité de
déconnecter les serveurs Citrix concernés en attendant la mise à jour.
<strong>\[Mise à jour du 13 janvier 2020\]</strong>
Des codes d'exploitation ont été publiés dans la nuit du 10 au 11
janvier 2020. Leur utilisation a été rapportée par plusieurs sources
publiques.
Le 11 janvier 2020, Citrix a publié les dates de disponibilités des
correctifs qui sont les suivantes :
- le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x
et 12.0.x
- le <s>27 janvier 2020</s> 24 janvier 2020 pour Citrix ADC et Citrix
Gateway versions 12.1.x et 13.0.x
- le <s>31 janvier 2020</s> 24 janvier 2020 pour NetScaler ADC et
NetScaler Gateway versions 10.5.x
<strong>\[Version Initiale\]</strong>
Le CERT-FR a connaissance de campagnes de détection de la
vulnérabilité CVE-2019-19781 affectant les logiciels Citrix ADC et
Citrix Gateway. Une campagne de détection fait partie de la phase de
reconnaissance qui est préalable à la phase d'exploitation.
Pour rappel, la vulnérabilité CVE-2019-19781 permet une exécution de
code arbitraire à distance. Citrix n'a pas encore publié de correctif de
sécurité mais a proposé des mesures de contournements (cf. section
Documentation).
Dans l'attente de la publication d'un correctif, le CERT-FR recommande
fortement l'application des mesures de contournement.
EPSS 94.44% · 100.0th percentile
