Vulmon
如需最新資訊,請參閱 CTX267027。
問題描述
在 Citrix 應用程式交付控制器 (ADC) (以前稱為 NetScaler ADC) 和 Citrix Gateway (以前稱為 NetScaler Gateway) 中發現漏洞,利用此漏洞,未經驗證的攻擊者可執行任意程式碼執行攻擊。
此漏洞影響的範圍包括在任何 Citrix Hypervisor (以前為 XenServer)、ESX、Hyper-V、KVM、Azure、AWS、GCP 或Citrix ADC 服務交付設備 (SDX) 上託管的 Citrix ADC 和 Citrix Gateway 虛擬設備 (VPX)。
經 Citrix 進一步調查顯示,此問題還影響某些 Citrix SD-WAN 的部署,尤其是 Citrix SD-WAN WANOP 版本。Citrix SD-WAN WANOP 版本將 Citrix ADC 封裝為負載平衡器,因而導致處於受影響狀態。
已為此漏洞指派以下 CVE 編號:
- CVE-2019-19781: Citrix 應用程式交付控制器、Citrix Gateway 和 Citrix SD-WAN WANOP 設備中導致任意程式碼執行的漏洞
此漏洞會影響所有支援平台上以下受支援的產品版本: - Citrix ADC 和 Citrix Gateway 13.0 版 (所有支援的 13.0.47.24 之前的組建版本)
- NetScaler ADC 和 NetScaler Gateway 12.1 版 (所有支援的 12.1.55.18 之前的組建版本)
- NetScaler ADC 和 NetScaler Gateway 12.0 版 (所有支援的 12.0.63.13 之前的組建版本)
- NetScaler ADC 和 NetScaler Gateway 11.1 版 (所有支援的 11.1.63.15 之前的組建版本)
- NetScaler ADC 和 NetScaler Gateway 10.5 版 (所有支援的 10.5.70.12 之前的組建版本)
- Citrix SD-WAN WANOP 設備型號 4000-WO、4100-WO、5000-WO 和 5100-WO (所有支援的 10.2.6b 和 11.0.3b 之前的軟體發行組建版本)
客戶應該採取的措施
在正常情況下,會在未採取緩解措施的設備上觀察到對此問題的漏洞利用。 Citrix 強烈建議受影響的客戶立即升級至已修正組建版本,或套用所提供的緩解措施,該緩解措施同樣適用於 Citrix ADC、Citrix Gateway 和 Citrix SD-WAN WANOP 部署。 選擇立即套用緩解措施的客戶接著應儘早將其所有易受攻擊的設備升級至該設備的已修正組建版本。 在 https://support.citrix.com/user/alerts 訂閱布告欄警示,以便在新修正可用時收到通知。
以下知識庫文章包含在將系統更新到已修正組建版本之前,部署回應者原則以緩解問題的步驟: CTX269388 - 對 CVE-2019-19781 的緩解步驟
套用緩解步驟後,客戶可以使用此處發佈的工具來驗證正確性: CTX269180 - CVE-2019-19781 – 驗證工具
在 Citrix ADC 和 Citrix Gateway 版本「12.1 組建編號 50.28」中,存在一個問題,該問題會影響回應者和重寫原則,導致它們不處理與原則規則匹配的封包。 在「12.1 組建編號 50.28/50.31」中已解決此問題,在這之後套用的緩解步驟將會生效。不過 Citrix 仍建議使用這些組建版本的客戶立即更新至已解決 CVE-2019-19781 問題的「12.1 組建編號 55.18」或更新版本。
使用「12.1 組建編號 50.28」的客戶如果希望延遲更新至「12.1 組建編號 55.18」或更新版本,應從以下兩個選項中選擇一個,以使緩解步驟按預期執行:
- 更新至重新整理的「12.1 組建編號 50.28/50.31」或更新版本並且套用緩解步驟,或
- 套用 CTX267679 中所發佈的緩解步驟以保護管理介面。 這不僅可以緩解管理介面上的攻擊,還可以緩解所有介面 (包括 Gateway 和 AAA 虛擬 IP) 上的攻擊
已針對所有支援的 Citrix ADC 和 Citrix Gateway 版本發行已修正組建版本。 此外,也已針對適用的設備型號,發行適用於 Citrix SD-WAN WANOP 的已修正組建版本。 Citrix 強烈建議客戶儘早安裝這些更新。 已修正的組建版本可從以下位置下載: https://www.citrix.com/downloads/citrix-adc/ 、 https://www.citrix.com/downloads/citrix-gateway/ 和 https://www.citrix.com/downloads/citrix-sd-wan/
已升級至已修正組建版本的客戶無需執行 CTX269388 中所述的緩解步驟。
修正時間表
Citrix 已針對所有支援的 Citrix ADC、Citrix Gateway 和適用的 Citrix SD-WAN WANOP 設備型號發行重新整理組建版本形式的修正。 請參閱下表,瞭解發行日期。
| Citrix ADC 和 Citrix Gateway | ||
| 版本 | 重新整理組建版本 | 發行日期 |
| 10.5 | 10.5.70.x | 2020 年 1 月 24 日 |
| 11.1 | 11.1.63.15 | 2020 年 1 月 19 日 (已發行) |
| 12.0 | 12.0.63.13 | 2020 年 1 月 19 日 (已發行) |
| 12.1 | 12.1.55.x | 2020 年 1 月 24 日 |
| 13.0 | 13.0.47.x | 2020 年 1 月 24 日 |
| Citrix SD-WAN WANOP | ||
| 版本 | Citrix ADC 版本 | 發行日期 |
| 10.2.6 | 11.1.51.615 | 2020 年 1 月 24 日 |
| 11.0.3 | 11.1.51.615 | 2020 年 1 月 24 日 |
致謝
Citrix 感謝 Positive Technologies 的 Mikhail Klyuchnikov 以及 Paddy Power Betfair plc 的 Gianlorenzo Cipparrone 和 Miguel Gonzalez 與我們合作保護 Citrix 客戶。
取得此問題的支援
如果您需要有關此問題的技術協助,請連絡 Citrix 技術支援。 Citrix 技術支援的連絡人詳細資料可從 https://www.citrix.com/support/open-a-support-case.html 取得。
報告安全性漏洞
Citrix 歡迎有關其產品安全性的輸入,並認真考慮任何及所有潛在的漏洞。 如需如何向 Citrix 報告安全性相關問題的指引,請參閱下列文件: CTX081743 — 向 Citrix 報告安全性問題
變更日誌
| 日期 | 變更 |
| 2019 年 12 月 17 日 | 初始發佈 |
| 2020 年 1 月 11 日 | 修正時間表已更新 |
| 2020 年 1 月 16 日 | 已新增 SD-WAN WANOP/已新增 Citrix ADC 12.1 回應者錯誤詳細資料 |
| 2020 年 1 月 16 日 | CVE 驗證工具 |
| 2020 年 1 月 17 日 | 更新到 Citrix ADC 和 Citrix Gateway 12.1 回應者原則問題 |
| 2020 年 1 月 19 日 | 已宣告發行 12.0 和 11.1 組建版本。 已宣告其他版本的較早發行日期。 |
| 2020 年 1 月 22 日 | 已宣告 SD-WAN WANOP 設備的修正 |
| 2020 年 1 月 23 日 | 已宣告 (加速) 發行 13.0 和 12.1 組建版本。 |
| 2020 年 1 月 24 日 | 已宣告發行 10.5 組建版本 |