Vulnérabilité dans les produits Citrix ADC et Citrix Gateway

Risque(s)

Exécution de code arbitraire à distance

Systèmes affectés

Citrix ADC et Citrix Gateway versions 13.0.x antérieures à 13.0.47.24
Citrix ADC et NetScaler Gateway versions 12.1.x antérieures à 12.1.55.18
Citrix ADC et NetScaler Gateway versions 12.0.x antérieures à 12.0.63.13
Citrix ADC et NetScaler Gateway versions 11.1.x antérieures à 11.1.63.15
Citrix NetScaler ADC et NetScaler Gateway versions 10.5.x antérieures à 10.5.70.12
Citrix SD-WAN WANOP versions antérieures à 10.2.6b et 11.0.3b (Citrix ADC v11.1.51.615)

Résumé

[Mise à jour du 26 juin 2020]

Le CERT-FR a pris connaissance de compromissions récentes de serveurs Citrix dans le cadre d'attaques ciblées. Il est rappelé que la vulnérabilité affecte tous les systèmes déclarés ci-dessus, même si la fonctionnalité VPN n'est pas activée.

Le CERT-FR rappelle donc qu'il est impératif de :

Procéder sans attendre à la mise à jour de vos serveurs Citrix en respectant la procédure standard de l’éditeur : réinstallation complète des serveurs puis restauration d’une configuration à partir d’une sauvegarde antérieure au 10 janvier 2020 ;
Révoquer et renouveler les certificats x509 déployés sur ces serveurs ainsi que sur tous les équipements qui les utilisent également (certificats multi-domaines par exemple);
Modifier les mots de passe des administrateurs et des utilisateurs qui utilisent le service Citrix ;
Modifier les mots de passe des comptes techniques configurés sur l’équipement (compte LDAP, compte Radius, compte Active Directory, etc.) ;

D’autre part, l’exposition sur Internet augmente les opportunités d’attaque visant à usurper l’identité d’un utilisateur nomade si le processus d’authentification n’est pas suffisamment robuste. Le CERT-FR recommande donc la mise en œuvre d’une authentification à double facteur afin de réduire ce risque.

Enfin, nous vous recommandons la lecture du bulletin CERTFR-2020-ACT-001 [5] sur la sécurisation des services exposés sur Internet.

[Mise à jour du 30 janvier 2020]

Le CERT-FR a pris connaissance de la compromission de clés privées sur des serveurs hébergeant le logiciel Citrix vulnérable. Ces clés privées sont pour certaines, associées à des certificats multi-domaines (wildcard).

Par conséquence, les attaquants sont en mesure d'usurper l'identité des services sécurisés pour l'ensemble des domaines et sous-domaines concernés.

Le CERT-FR recommande donc fortement d'appliquer les mesures de prévention suivantes :

renouveler l'ensemble des éléments secrets stockés sur la machine et entreprendre les actions appropriées en conséquence ;
révoquer les certificats potentiellement compromis ;
étudier la possibilité de limiter la portée des certificats multi-domaines pour limiter l'impact d'une future compromission ;
renouveler les certificats sur les serveurs hébergeant le logiciel Citrix ainsi que tout autre serveur utilisant les certificats multi-domaines présents sur les serveurs hébergeants le logiciel compromis.

Le CERT-FR recommande également de complètement réinstaller les serveurs Citrix avant d'appliquer la mise à jour afin de repartir d'une base saine. Pour ce faire, il est aussi conseillé d'utiliser une sauvegarde de la configuration antérieure à décembre 2019.

[Mise à jour du 27 janvier 2020]

Les correctifs pour toutes les versions supportées sont disponibles. Le CERT-FR recommande de les installer dans les plus brefs délais.

[Mise à jour du 23 janvier 2020]

Le 22 janvier 2020, Citrix a fourni, en collaboration avec FireEye, un outil qui tente de rechercher des possibles exploitations de la vulnérabilité CVE-2019-19781. Contrairement à l'outil fourni le 17 janvier qui permet de rechercher des machines vulnérables sur le réseau, il doit être lancé en local.

FireEye indique que l'outil doit être lancé avec les privilèges administrateur et ne garantit pas de repérer toutes les compromissions.

L'outil est présenté sur le site de FireEye et est disponible sur GitHub.

[Mise à jour du 20 janvier 2020]

Le 19 janvier 2020, Citrix a publié les correctifs pour les versions 12.0.x et 11.1.x.

La date de disponibilité des correctifs pour les autres versions a également été avancée au 24 janvier 2020.

Concernant les versions pour lesquelles certaines mesures de contournement ne fonctionnent pas, Citrix a clarifié sa position. Seule la version "12.1 build 50.28" est affectée. Il est recommandé dans ce cas de migrer vers la version "12.1 build 50.28/50.31" ou une version ultérieure.

[Mise à jour du 17 janvier 2020]

Le 16 janvier 2020, Citrix a mis à jour son bulletin de sécurité concernant la vulnérabilité CVE-2019-19781.

~~Citrix annonce que la mesure de contournement proposée en attendant la sortie des correctifs ne fonctionne pas pour les versions 12.1.x suivantes:~~

~~Citrix ADC et NetScaler Gateway versions 12.1.51.16 à 12.1.51.19~~
~~Citrix ADC et NetScaler Gateway versions 12.1.50.31~~

Citrix recommande de migrer vers une version sur laquelle il est possible d'appliquer la mesure de contournement.

Citrix a également annoncé que les modèles Citrix SD-WAN WANOP 4000, 4100, 5000 et 5100 sont également affecté par la vulnérabilité CVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020 pour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.

Enfin, Citrix a fourni un outil en Python afin de tester si son équipement est vulnérable : https://support.citrix.com/article/CTX269180

De manière générale, le CERT-FR recommande d'étudier la possibilité de déconnecter les serveurs Citrix concernés en attendant la mise à jour.

[Mise à jour du 13 janvier 2020]

Des codes d'exploitation ont été publiés dans la nuit du 10 au 11 janvier 2020. Leur utilisation a été rapportée par plusieurs sources publiques.

Le 11 janvier 2020, Citrix a publié les dates de disponibilités des correctifs qui sont les suivantes :

le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
le ~~27 janvier 2020~~ 24 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x
le ~~31 janvier 2020~~ 24 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x

[Version Initiale]

Le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2019-19781 affectant les logiciels Citrix ADC et Citrix Gateway. Une campagne de détection fait partie de la phase de reconnaissance qui est préalable à la phase d'exploitation.

Pour rappel, la vulnérabilité CVE-2019-19781 permet une exécution de code arbitraire à distance. Citrix n'a pas encore publié de correctif de sécurité mais a proposé des mesures de contournements (cf. section Documentation).

Dans l'attente de la publication d'un correctif, le CERT-FR recommande fortement l'application des mesures de contournement.

Contournement provisoire

Se référer au bulletin de sécurité de l'éditeur pour l'obtention du contournement (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

[1] Bulletin de sécurité Citrix CTX267027 du 17 décembre 2019
https://support.citrix.com/article/CTX267027
[2] Descriptif du contournement à appliquer en date du 17 décembre 2019
https://support.citrix.com/article/CTX267679
[3] Avis CERT-FR CERTFR-2019-AVI-640 du 18 décembre 2019
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/
[4] Référence CVE CVE-2019-19781
https://www.cve.org/CVERecord?id=CVE-2019-19781
[5] Bulletin CERTFR-2020-ACT-001 du 05 février 2020
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-001/

Référence	CERTFR-2020-ALE-002
Titre	Vulnérabilité dans les produits Citrix ADC et Citrix Gateway
Date de la première version	09 janvier 2020
Date de la dernière version	31 juillet 2020
Source(s)	Bulletin de sécurité Citrix CTX267027 du 17 décembre 2019
Pièce(s) jointe(s)	Aucune(s)

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans les produits Citrix ADC et Citrix Gateway

Gestion du document