① いま何が起きてるの？（1月17日時点）

• 話題となっているのは2019年12月にCitrixが情報公開した脆弱性 CVE-2019-19781。CERT/CCが評価した1月11日時点のCVSSスコア（現状値）は9.5。*1
• 年明け早々に脆弱性探査活動が発生していると報告あり。製品は国内外に複数存在する。1月11日に入り攻撃手法の詳細が公開され誰でも試せる状態となった。
• 一部製品は修正中で1月19日以降順次公開されている。それまでは緩和策でリスク軽減必要。

② この脆弱性の影響を受けるとどうなるの？

• 影響を受ける製品で任意のコードが実行される恐れがある。
• 検証コードを使って製品のパスワードファイル/etc/passwdの取得ができることが示されている。
• この問題を放置した場合、昨年VPN製品の脆弱性でも起きたシステム侵害の被害を受ける可能性がある。

piyolog.hatenadiary.jp

③ 影響を受ける製品は何？

• 対象はCitrix Application Delivery Controller（旧称Citrix NetScaler ADC）、Citrix Gateway（旧称NetScaler Gateway）、Citrix SD-WAN WANOP を利用するユーザー、サービス。
• サポートされている製品バージョンと全てのプラットフォームが対象。

• Citrix ADC／Citrix Gateway

• Citrix SD-WAN WANOP

④ Citrixの公式情報はどこ？

サポートページで情報が公開されている。（1月19日更新）

• CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance
• サポート情報は英語だが、翻訳サービスを使えば概要は理解可能。

① まず何をしたらいいの？

• 影響を受ける製品を利用しているか確認する。
• 対象の製品へインターネット上から第三者が接続可能な状態か確認する。

② 影響を受けるかどうやって確認するの？

• 担当者（ベンダ）に確認するのが確実だが、TrustedSecがスキャナーと手動による確認方法をGithub上で公開している。
• 手動で確認する場合は次のcurlコマンドを実行する。403エラーではなく、200（smb.confの内容）が表示される場合は脆弱性による影響を受ける可能性がある。

curl https://（確認対象のCitrix製品のホスト）/vpn/../vpns/cfg/smb.conf --path-as-is

③ 影響を受けることが確認できた。次にどうしたらいいの？

• 修正版公開まで次の対策ができるか（既に提供されているか）を確認する。

1. 必要外（インターネット等）の環境からの接続制限
2. Citrix社の公開する緩和策の適用
3. FWやIPS/IDSによるExploitコードの遮断

③-１ 接続制限の方法は？

• NTTコミュニケーションズがNetScaler ADC VPXを対象にした接続制限設定の手順を公開している。
  • [PDF] 設定方法_①管理用通信を無効化
  • [PDF] 設定方法_②アクセス制限の実施

③-２ Citirxの緩和策の情報はどこにあるの？

• Citirix社のサポートサイトに掲示されている。
  • Mitigation Steps for CVE-2019-19781
• 製品利用の構成に応じて対応が異なること、実施による影響がないか確認が必要。
• 12.1.50.28に不具合がありこの回避策が適用できないため、12.1.50.28/50.31以降へのアップデートが必要。
• この緩和策はディレクトリトラバーサルを用いない攻撃手段に対しても有効。

① CVE-2019-17891は何が原因で起こる脆弱性なの？

• 対象製品にパストラバーサルとコマンドインジェクションの脆弱性が存在する。
• Project Zero Indiaが公開したExploitコードは次の流れ。現在公開されているものの多くは本質的には同じ方法で実装されている。

1. 1回目の接続でパストラバーサルを使い、本来認証されていないと実行できないスクリプト（newbm.pl）を呼び出す。
2. newbm.plに対しコマンドインジェクションを実行し、その結果をファイルに出力する。
3. 2回目の接続で(2)で出力したファイルに接続し実行結果を参照する。

② 今回の経緯を教えて

③ 検証コードはどこに公開されているの？

• 2020年1月11日頃より、Github上に複数公開されている。(これ以外にも多数）
  • GitHub - projectzeroindia/CVE-2019-19781: Remote Code Execution Exploit for Citrix Application Delivery Controller and Citrix Gateway [ CVE-2019-19781 ]
  • cve-2019-19781/citrixmash.py at master · trustedsec/cve-2019-19781 · GitHub
• 今活発化しているExploitコードは次のURLに対して任意コードの実行が試行される。

http://（対象ホスト）/vpn/../vpns/portal/scripts/newbm.pl

④ 誰が見つけたの？

Citrixのサポートページ謝辞欄では3名の方の名前が掲載されている。

• Positive TechnologiesのMikhail Klyuchnikov氏
• Paddy Power Betfair plcのGianlorenzo Cipparrone氏、Miguel Gonzalez氏

① どれぐらい影響を受ける組織があるの？

• 脆弱性を発見したPositive Technologiesによれば世界158か国の8万以上の企業が影響を受けると分析。
• TripWireは自身のスキャニングにより58,620個（39,378個は確実に）の影響を受ける可能性の高いIPアドレスを特定している。IPアドレスから26,000超のサブジェクト名を特定。金融、政府、医療様々な組織が含まれていた。
• BadPacketsも国別など分析した結果を公表。25,000件を超えるホストが影響を受ける可能性があると判定され、日本は232件。BadPacketsはCERTや法執行機関向けに対象のリストの提供が可能としている。
• Citrixはこれらのスキャン調査の結果に対し、多くの製品はFWの内側にあり限定的な影響であるとブログを通じて見解を発表していたが、後にこの見解を修正し、仮想IPを介して直接影響を受ける可能性についても言及している。

② 悪用等の活動はすでに起きているの？

• 2020年初頃よりハニーポットに対して脆弱性スキャンとみられるアクセス活動が発生しているとSANS ISCの研究者は報告。
• SANS ISCのブログでは具体的な例を示したうえで、実証コード公開後より悪用が活発化していると報告。バックドア（外部からbashコマンドを受信するPerlスクリプト）の仕込みを試す動きも発生している。その後も別のバックドアを仕込む活動が確認されている。

#CITRIX Remote Code Execution in the wild! #NetScaler #cve201919781

The #ISC Internet Storm Center is monitoring activity via @johullrich Read here: https://t.co/qFh6i1lVGi

To understand the vuln & how to mitigate; watch his webcast here: https://t.co/QRjxvdmX0B pic.twitter.com/bRFSzo8cwY

— SANS Institute (@SANSInstitute) 2020年1月11日

③ 攻撃を受けている可能性がある。どこを調べたらいい？

• Citirx製品のHTTPログ中に次の文字列を含む接続があるかを確認する。
  • /vpns/
  • /vpn/../vpns/cfg/smb.conf
  • /vpn/../vpns/portal/scripts/newbm.pl
• 検査例*2

gzcat /var/log/http*|grep "/../vpns"

• 以下の特定ディレクトリに最近作成されたファイルが存在しないか確認する。
  • /var/tmp/netscaler/portal/templates
  • /netscaler/portal/templates
• 検査例

ls /var/tmp/netscaler/portal/templates/
ls /netscaler/portal/templates/*.xml

• TrustedSecがExploitコードやADC自体の分析に基づき確認すべき箇所を公開している。
• Citrix ADC、GatewayはFreeBSD 8.4を使用しているため、FreeBSD用のフォレンジック情報も活用できる。