WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Citrix phát hành bản vá cho lỗ hổng ADC nghiêm trọng đang bị khai thác trong thực tế
Citrix cuối cùng đã tung ra bản vá cho một lỗ hổng nghiêm trọng trong phần mềm ADC và Gateway mà những kẻ tấn công bắt đầu khai thác vào đầu tháng này sau khi công ty tuyên bố sự tồn tại của vấn đề mà không đưa ra bất kỳ bản vá.
Lỗ hổng, CVE-2019-19781, là một vấn đề path traversal (cho phép truy cập tệp tin cấm trên máy chủ) có thể cho phép kẻ tấn công trái phép từ xa thực thi mã tùy ý trên một số phiên bản của Citrix ADC (Application Delivery Controller - Bộ điều khiển phân phối ứng dụng) và Gateway, cũng như trên hai phiên bản cũ hơn của Citrix SD-WAN WANOP.
Được đánh giá 9.8 điểm CVSS v3.1, vấn đề được phát hiện bởi Mikhail Klyuchnikov, một nhà nghiên cứu tại Positive Technologies. Mikhail Klyuchnikov đã báo cáo vấn đề với Citrix vào đầu tháng 12.
Lỗ hổng đang bị khai thác trong thực tế kể từ tuần trước bởi hàng chục nhóm hacker và tin tặc do có rất nhiều mã khai thác lỗ hổng (proof-of-concept) được phát hành.
Theo các chuyên gia an ninh mạng, tính đến ngày hôm nay, có hơn 15.000 máy chủ Citrix ADC và Gateway tồn tại lỗ hổng có thể truy cập công khai mà kẻ tấn công có thể khai thác qua đêm để nhắm vào các mạng doanh nghiệp tiềm năng.
Các chuyên gia của FireEye đã phát hiện một chiến dịch tấn công trong đó kẻ xấu tấn công các máy chủ Citrix ADC tồn tại lỗ hổng để cài đặt một payload chưa từng thấy trước đây, được đặt tên là "NotRobin", rà quét các hệ thống tìm kiếm mã độc đào tiền điện tử và phần mềm độc hại do những kẻ tấn công khác triển khai và loại bỏ chúng để duy trì một backdoor độc quyền.
Tuần trước Citrix đã phát hành một lịch trình, hứa hẹn sẽ phát hành các bản cập nhật firmware đã vá cho tất cả các phiên bản được hỗ trợ của phần mềm ADC và Gateway trước cuối tháng 1 năm 2020, như được hiển thị trong biểu đồ.
Là một phần của đợt cập nhật đầu tiên, Citrix hôm nay đã phát hành bản vá cho các phiên bản ADC 11.1 và 12.0, ADC và Gateway VPX được lưu trữ trên ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP hoặc trên Citrix ADC Service Delivery Appliance (SDX).
"Khách hàng cần nâng cấp tất cả các phiên bản Citrix ADC và Citrix Gateway 11.1 (MPX hoặc VPX) lên bản 11.1.63.15, các phiên bản Citrix ADC và Citrix Gateway 12.0 (MPX hoặc VPX) lên bản 12.0.63.13 để cài đặt các bản vá lỗ hổng", Citrix cho biết.
"Chúng tôi kêu gọi khách hàng cài đặt các bản sửa lỗi này ngay lập tức. Nếu bạn chưa làm như vậy, cần áp dụng biện pháp giảm thiểu được cung cấp trước đó cho các phiên bản ADC 12.1, 13, 10.5 và SD-WAN WANOP phiên bản 10.2.6 và 11.0.3 cho đến khi có bản sửa lỗi cho các phiên bản đó."
Công ty cũng cảnh báo rằng khách hàng có nhiều phiên bản ADC phải áp dụng bản vá chính xác cho từng hệ thống riêng biệt.
Bên cạnh việc cài đặt các bản vá có sẵn cho các phiên bản được hỗ trợ và áp dụng biện pháp giảm thiểu được khuyến nghị cho các hệ thống chưa được vá, các quản trị viên Citrix ADC cũng cần theo dõi nhật ký của thiết bị để phát hiện các cuộc tấn công.
Lỗ hổng, CVE-2019-19781, là một vấn đề path traversal (cho phép truy cập tệp tin cấm trên máy chủ) có thể cho phép kẻ tấn công trái phép từ xa thực thi mã tùy ý trên một số phiên bản của Citrix ADC (Application Delivery Controller - Bộ điều khiển phân phối ứng dụng) và Gateway, cũng như trên hai phiên bản cũ hơn của Citrix SD-WAN WANOP.
Được đánh giá 9.8 điểm CVSS v3.1, vấn đề được phát hiện bởi Mikhail Klyuchnikov, một nhà nghiên cứu tại Positive Technologies. Mikhail Klyuchnikov đã báo cáo vấn đề với Citrix vào đầu tháng 12.
Lỗ hổng đang bị khai thác trong thực tế kể từ tuần trước bởi hàng chục nhóm hacker và tin tặc do có rất nhiều mã khai thác lỗ hổng (proof-of-concept) được phát hành.
Theo các chuyên gia an ninh mạng, tính đến ngày hôm nay, có hơn 15.000 máy chủ Citrix ADC và Gateway tồn tại lỗ hổng có thể truy cập công khai mà kẻ tấn công có thể khai thác qua đêm để nhắm vào các mạng doanh nghiệp tiềm năng.
Các chuyên gia của FireEye đã phát hiện một chiến dịch tấn công trong đó kẻ xấu tấn công các máy chủ Citrix ADC tồn tại lỗ hổng để cài đặt một payload chưa từng thấy trước đây, được đặt tên là "NotRobin", rà quét các hệ thống tìm kiếm mã độc đào tiền điện tử và phần mềm độc hại do những kẻ tấn công khác triển khai và loại bỏ chúng để duy trì một backdoor độc quyền.
Tuần trước Citrix đã phát hành một lịch trình, hứa hẹn sẽ phát hành các bản cập nhật firmware đã vá cho tất cả các phiên bản được hỗ trợ của phần mềm ADC và Gateway trước cuối tháng 1 năm 2020, như được hiển thị trong biểu đồ.
Là một phần của đợt cập nhật đầu tiên, Citrix hôm nay đã phát hành bản vá cho các phiên bản ADC 11.1 và 12.0, ADC và Gateway VPX được lưu trữ trên ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP hoặc trên Citrix ADC Service Delivery Appliance (SDX).
"Khách hàng cần nâng cấp tất cả các phiên bản Citrix ADC và Citrix Gateway 11.1 (MPX hoặc VPX) lên bản 11.1.63.15, các phiên bản Citrix ADC và Citrix Gateway 12.0 (MPX hoặc VPX) lên bản 12.0.63.13 để cài đặt các bản vá lỗ hổng", Citrix cho biết.
"Chúng tôi kêu gọi khách hàng cài đặt các bản sửa lỗi này ngay lập tức. Nếu bạn chưa làm như vậy, cần áp dụng biện pháp giảm thiểu được cung cấp trước đó cho các phiên bản ADC 12.1, 13, 10.5 và SD-WAN WANOP phiên bản 10.2.6 và 11.0.3 cho đến khi có bản sửa lỗi cho các phiên bản đó."
Công ty cũng cảnh báo rằng khách hàng có nhiều phiên bản ADC phải áp dụng bản vá chính xác cho từng hệ thống riêng biệt.
Bên cạnh việc cài đặt các bản vá có sẵn cho các phiên bản được hỗ trợ và áp dụng biện pháp giảm thiểu được khuyến nghị cho các hệ thống chưa được vá, các quản trị viên Citrix ADC cũng cần theo dõi nhật ký của thiết bị để phát hiện các cuộc tấn công.
Theo The Hacker News