ช่องโหว่หมายเลข CVE2019-19781 คือช่องโหว่ที่มีผลกระทบกับ Citrix Application Delivery Controller (ADC) ซึ่งมีผลสามารถทำให้ผู้บุกรุกประมวลผลคำสั่งอันตรายจากระยะไกลได้ ซึ่งช่องโหว่ดังกล่าวมีการทำงานโดยผู้บุกรุกสามารถใช้เทคนิค Directory Traversal เรียกใช้ไฟล์ช่องโหว่ที่อยู่ภายใต้ Path /vpns/ แล้วนำคำสั่งอันตรายฝังเข้าไปที่ช่องโหว่แล้วรันคำสั่งจากระยะไกล
และในปัจจุบันมีการเผยแพร่สคริปต์การโจมตี และวิธีการโจมตีอย่างแพร่หลายไม่ว่าจะเป็นการทำ Information Gathering เพื่อทดสอบหาเว็บเซิร์ฟเวอร์ที่ใช้แอปพลิเคชัน ADC ที่มีช่องโหว่ดังกล่าว โดยใช้ Google Search Engine,Shodan เป็นต้น
วิธีการตรวจสอบเบื้องต้นว่า Citrix ADC มีช่องโหว่หรือไม่ ให้ดำเนินการทดสอบรีเควส HTTP Header ดังนี้
curl -vk –path-as-is https://$TARGET/vpn/../vpns/ 2>&1 | grep “You don’t have permission to access /vpns/” >/dev/null && echo “VULNERABLE: $TARGET” || echo “MITIGATED: $TARGET”
เพื่อทดสอบว่าสามารถเรียกใช้งาน Path /vpns/ ได้หรือไม่หากขึ้นว่า Vulnerable แสดงว่ามีช่องโหว่
วิธีการดำเนินการแก้ไข
เบื้องต้นทาง Citrix ให้ดำเนินการสร้าง Rule ใน Application ไม่ให้บุคคลภายนอกสามารถเข้าถึง Path /vpns/ ได้ดังนี้
“HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(”/vpns/”) && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(”/../”))” respondwith403
ในปัจจุบันยังไม่มี Security Patch สำหรับการปิดช่องโหว่ ซึ่งมีการแจ้งอัพเดทในอนาคตดังนี้
• Citrix ADC and Citrix Gateway
Version 10.5 อัพเดท 31 มกราคม 2020
Version 11.1 อัพเดท 20 มกราคม 2020
Version 12.0 อัพเดท 20 มกราคม 2020
Version 12.1 อัพเดท 27 มกราคม 2020
Version 13.0 อัพเดท 27 มกราคม 2020
Version 10.5 อัพเดท 31 มกราคม 2020
• Citrix SD-WAN WANOP
Version 10.2.6 อัพเดท 27 มกราคม 2020
Version 11.0.3 อัพเดท 27 มกราคม 2020
อ่านข้อมูลเพิมเติม
ผู้เขียน : นาย ณัฐวุติ โอภาสเอี่ยมลิขิต
เผยแพร่ : วันที่ 20 มกราคม 2563