PoC បង្ហាញអំពីភាពងាយរងគ្រោះនៅលើ Citrix ADC និង Gateway RCE

បច្ចុប្បន្ននេះ ឬមិនធ្លាប់ការពារម៉ាស៊ីនមេសហគ្រាសរបស់អ្នកពីការគំរាមកំហែងនៃជំនាន់កម្មវិធី Citrix application delivery, load balancing, and Gateway solutions ពីការលួចវាយប្រហារពីអ្នកវាយ ប្រហារពីចម្ងាយនោះទេ។ ហេតុអ្វីបានជាបន្ទាន់យ៉ាងនេះ? នៅព្រឹកថ្ងៃនេះ ក្រុមជាច្រើនបានប្រើប្រាស់ ចំណុចខ្វះខាតនៃគម្រោងអាវុធជាសាធារណៈ ដើម្បីវាយប្រហារពីចម្ងាយ ដែលត្រូវបានបង្ហាញនៅក្នុង ផលិតផល Citrix របស់ NetScaler ADC Gateway products ដែលអាចអនុញ្ញាតិឱ្យអ្នកណាម្នាក់ជួយ ពួកគេគ្រប់គ្រងលើគោលដៅសហគ្រាសសក្តានុពល។

គ្រាន់តែមុនថ្ងៃឈប់សម្រាកបុណ្យណូអែល និងចុងឆ្នាំ Citrix បានប្រកាសថា Citrix Application Delivery Controller (ADC) និង Citrix Gateway ងាយរងគ្រោះដោយសារ path traversal flaw (CVE-2019-19781) ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយ ប្រហារ ដែលមិនបានបញ្ជាក់អត្តសញ្ញាណអនុវត្តកូដបំពានប្រតិបត្តិលើម៉ាស៊ីនមេងាយរងគ្រោះ។

Citrix បានបញ្ជាក់ថា គុណវិបត្តិប៉ះពាល់ដល់កំណែកម្មវិធីទាំងអស់រួមមាន៖

• Citrix ADC and Citrix Gateway version 13.0 all supported builds
• Citrix ADC and NetScaler Gateway version 12.1 all supported builds
• Citrix ADC and NetScaler Gateway version 12.0 all supported builds
• Citrix ADC and NetScaler Gateway version 11.1 all supported builds
• Citrix NetScaler ADC and NetScaler Gateway version 10.5 all supported builds

ក្រុមហ៊ុនបានធ្វើការផ្សព្វផ្សាយដោយមិនបញ្ចេញនូវ patches សុវត្ថិភាពណាមួយសម្រាប់កម្មវិធី ងាយរងគ្រោះទេ។ ផ្ទុយទៅវិញក្រុមហ៊ុន Citrix បានផ្តល់ការដោះស្រាយដោយជួយអ្នកគ្រប់គ្រងឱ្យ ការពារម៉ាស៊ីនមេរបស់ពួកគេប្រឆាំងនឹងការវាយប្រហារពីចម្ងាយ ហើយសូម្បីតែពេលបញ្ចេញព័ត៌មាន ក៏មិនមាន patch ដែរ រហូតដល់ទៅរយៈពេលជិត ២៣ ថ្ងៃ បន្ទាប់ពីការបង្ហាញការរងគ្រោះ។

តាមរយៈការវាយប្រហារតាមអ៊ីនធឺរណិតប្រឆាំងនឹងម៉ាស៊ីនមេដែលងាយរងគ្រោះត្រូវបានគេមើល ឃើញជាលើកដំបូងនៅក្នុងសប្តាហ៍មុននៅពេលដែលពួកហេគឃរ័បង្កើតការកេងចំណេញឯកជន បន្ទាប់ពីព័ត៌មានអំពីការកាត់បន្ថយផ្នែកវិស្វកម្ម ការចេញផ្សាយជាសាធារណៈនៃព័ត៌មានការ ប្រើប្រាស់អាវុធនឹងធ្វើឱ្យវាកាន់តែងាយស្រួលសម្រាប់ឧបករណ៍សរសេរស្គ្រីបដែលមានជំនាញទាប ដើម្បីចាប់ផ្តើមវាយប្រហារតាមអ៊ីនធឺរណិតប្រឆាំងនឹងអង្គការងាយរងគ្រោះ។

យោងតាម ​​Shodan នៅពេលបញ្ចេញព័ត៌មាន មានម៉ាស៊ីនមេជាង ១២៥.៤០០ Citrix ADC or Gateway servers អាចចូលដំណើរការបានជាសាធារណៈ ហើយអាចត្រូវបានកេងប្រវ័ញ្ចពេញមួយ យប់ ប្រសិនបើមិន offline ឬការពារដោយប្រើ available mitigation នោះទេ។ នៅពេលពិភាក្សាអំពីព័ត៌មានលម្អិតបច្ចេកទេសនៃគុណវិបត្តិនៅក្នុងការបង្ហោះប្លុកមួយដែលបានចេញផ្សាយកាលពីម្សិលមិញ MDSsec ក៏បានចេញផ្សាយវីដេអូបង្ហាញពីការកេងប្រវ័ញ្ច ដែលពួកគេបាន អភិវឌ្ឍ ប៉ុន្តែមិនបញ្ចេញវានៅពេលនេះទេ។ ក្រៅពីផ្តល់អនុសាសន៍ឲ្យអនុវត្តការកាត់បន្ថយ ដែលបាន ណែនាំអ្នកគ្រប់គ្រង Citrix ADC ឱ្យត្រួតពិនិត្យកំណត់ហេតុឧបករណ៍របស់ពួកគេដែលរងការវាយ ប្រហារនោះ។