2019年12月17日に脆弱性情報が公開されたCitritx製品「Citrix Application Delivery Controller」「Citrix Gateway」「Citrix SD-WAN WANOP」において、2020年1月に入ってから探査活動が発生し、11日頃この脆弱性を検証できる実証コードも公開されました。この脆弱性を既に悪用する動きも活発化しています。ここでは関連する情報をまとめます。
1.概要編
① いま何が起きてるの?(1月17日時点)
- 話題となっているのは2019年12月にCitrixが情報公開した脆弱性 CVE-2019-19781。CERT/CCが評価した1月11日時点のCVSSスコア(現状値)は9.5。*1
- 年明け早々に脆弱性探査活動が発生していると報告あり。製品は国内外に複数存在する。1月11日に入り攻撃手法の詳細が公開され誰でも試せる状態となった。
- 一部製品は修正中で1月19日以降順次公開されている。それまでは緩和策でリスク軽減必要。
② この脆弱性の影響を受けるとどうなるの?
- 影響を受ける製品で任意のコードが実行される恐れがある。
- 検証コードを使って製品のパスワードファイル
/etc/passwd
の取得ができることが示されている。 - この問題を放置した場合、昨年VPN製品の脆弱性でも起きたシステム侵害の被害を受ける可能性がある。
③ 影響を受ける製品は何?
- 対象はCitrix Application Delivery Controller(旧称Citrix NetScaler ADC)、Citrix Gateway(旧称NetScaler Gateway)、Citrix SD-WAN WANOP を利用するユーザー、サービス。
- サポートされている製品バージョンと全てのプラットフォームが対象。
- Citrix ADC/Citrix Gateway
影響バージョン | 修正ビルド | リリース日 |
---|---|---|
10.5 | 10.5.70.x | 2020年1月24日予定 |
11.1 | 11.1.63.15 | 2020年1月19日 |
12.0 | 12.0.63.13 | 2020年1月19日 |
12.1 | 12.1.55.x | 2020年1月24日予定 |
13.0 | 13.0.47.x | 2020年1月24日予定 |
- Citrix SD-WAN WANOP
影響バージョン | 修正ビルド | リリース日 |
---|---|---|
10.2.6 | 11.1.51.615 | 2020年1月24日予定 |
11.0.3 | 11.1.51.615 | 2020年1月24日予定 |
④ Citrixの公式情報はどこ?
サポートページで情報が公開されている。(1月19日更新)
- CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance
- サポート情報は英語だが、翻訳サービスを使えば概要は理解可能。
2.対策編
① まず何をしたらいいの?
- 影響を受ける製品を利用しているか確認する。
- 対象の製品へインターネット上から第三者が接続可能な状態か確認する。
② 影響を受けるかどうやって確認するの?
- 担当者(ベンダ)に確認するのが確実だが、TrustedSecがスキャナーと手動による確認方法をGithub上で公開している。
- 手動で確認する場合は次のcurlコマンドを実行する。403エラーではなく、200(smb.confの内容)が表示される場合は脆弱性による影響を受ける可能性がある。
curl https://(確認対象のCitrix製品のホスト)/vpn/../vpns/cfg/smb.conf --path-as-is
③ 影響を受けることが確認できた。次にどうしたらいいの?
- 修正版公開まで次の対策ができるか(既に提供されているか)を確認する。
- 必要外(インターネット等)の環境からの接続制限
- Citrix社の公開する緩和策の適用
- FWやIPS/IDSによるExploitコードの遮断
③-1 接続制限の方法は?
- NTTコミュニケーションズがNetScaler ADC VPXを対象にした接続制限設定の手順を公開している。
- [PDF] 設定方法_①管理用通信を無効化
- [PDF] 設定方法_②アクセス制限の実施
③-2 Citirxの緩和策の情報はどこにあるの?
- Citirix社のサポートサイトに掲示されている。
- 製品利用の構成に応じて対応が異なること、実施による影響がないか確認が必要。
- 12.1.50.28に不具合がありこの回避策が適用できないため、12.1.50.28/50.31以降へのアップデートが必要。
- この緩和策はディレクトリトラバーサルを用いない攻撃手段に対しても有効。
3.脆弱性情報編
① CVE-2019-17891は何が原因で起こる脆弱性なの?
- 対象製品にパストラバーサルとコマンドインジェクションの脆弱性が存在する。
- Project Zero Indiaが公開したExploitコードは次の流れ。現在公開されているものの多くは本質的には同じ方法で実装されている。
- 1回目の接続でパストラバーサルを使い、本来認証されていないと実行できないスクリプト(newbm.pl)を呼び出す。
- newbm.plに対しコマンドインジェクションを実行し、その結果をファイルに出力する。
- 2回目の接続で(2)で出力したファイルに接続し実行結果を参照する。
② 今回の経緯を教えて
日時 | 出来事 | |
---|---|---|
2019年12月17日 | Citrixが2製品に対する脆弱性情報を公開。 | |
2020年1月4日 | SANS ISCがExploitの試行を確認していると報告。 | |
2020年1月7日 | SANS ISCのハニーポットに対し、スキャンをする活動が発生していると報告。 | |
2020年1月8日 | TripWireのリサーチャーが任意のコマンド実行に関する検討結果について情報公開。 | |
2020年1月10日 | MDSecのリサーチャーがPerl Template Toolkitを使った追加考察の情報公開。 | |
2020年1月11日 | 「Project Zero India」が脆弱性検証(Exploit)コードをGithub上に公開。 | |
2020年1月12日 | SANS ISCがハニーポットに対しExploitを試行する接続件数がスパイクしていると発表。 | |
2020年1月16日 | 影響を受ける製品にCitrix SD-WAN WANOPが追加。 | |
2020年1月19日 | 一部バージョンの修正版リリース。 |
③ 検証コードはどこに公開されているの?
- 2020年1月11日頃より、Github上に複数公開されている。(これ以外にも多数)
- 今活発化しているExploitコードは次のURLに対して任意コードの実行が試行される。
http://(対象ホスト)/vpn/../vpns/portal/scripts/newbm.pl
④ 誰が見つけたの?
Citrixのサポートページ謝辞欄では3名の方の名前が掲載されている。
- Positive TechnologiesのMikhail Klyuchnikov氏
- Paddy Power Betfair plcのGianlorenzo Cipparrone氏、Miguel Gonzalez氏
4.攻撃活動編
① どれぐらい影響を受ける組織があるの?
- 脆弱性を発見したPositive Technologiesによれば世界158か国の8万以上の企業が影響を受けると分析。
- TripWireは自身のスキャニングにより58,620個(39,378個は確実に)の影響を受ける可能性の高いIPアドレスを特定している。IPアドレスから26,000超のサブジェクト名を特定。金融、政府、医療様々な組織が含まれていた。
- BadPacketsも国別など分析した結果を公表。25,000件を超えるホストが影響を受ける可能性があると判定され、日本は232件。BadPacketsはCERTや法執行機関向けに対象のリストの提供が可能としている。
- Citrixはこれらのスキャン調査の結果に対し、多くの製品はFWの内側にあり限定的な影響であるとブログを通じて見解を発表していたが、後にこの見解を修正し、仮想IPを介して直接影響を受ける可能性についても言及している。
② 悪用等の活動はすでに起きているの?
- 2020年初頃よりハニーポットに対して脆弱性スキャンとみられるアクセス活動が発生しているとSANS ISCの研究者は報告。
- SANS ISCのブログでは具体的な例を示したうえで、実証コード公開後より悪用が活発化していると報告。バックドア(外部からbashコマンドを受信するPerlスクリプト)の仕込みを試す動きも発生している。その後も別のバックドアを仕込む活動が確認されている。
#CITRIX Remote Code Execution in the wild! #NetScaler #cve201919781
— SANS Institute (@SANSInstitute) 2020年1月11日
The #ISC Internet Storm Center is monitoring activity via @johullrich Read here: https://t.co/qFh6i1lVGi
To understand the vuln & how to mitigate; watch his webcast here: https://t.co/QRjxvdmX0B pic.twitter.com/bRFSzo8cwY
③ 攻撃を受けている可能性がある。どこを調べたらいい?
- Citirx製品のHTTPログ中に次の文字列を含む接続があるかを確認する。
/vpns/
/vpn/../vpns/cfg/smb.conf
/vpn/../vpns/portal/scripts/newbm.pl
- 検査例*2
gzcat /var/log/http*|grep "/../vpns"
- 以下の特定ディレクトリに最近作成されたファイルが存在しないか確認する。
/var/tmp/netscaler/portal/templates
/netscaler/portal/templates
- 検査例
ls /var/tmp/netscaler/portal/templates/ ls /netscaler/portal/templates/*.xml
- TrustedSecがExploitコードやADC自体の分析に基づき確認すべき箇所を公開している。
- Citrix ADC、GatewayはFreeBSD 8.4を使用しているため、FreeBSD用のフォレンジック情報も活用できる。
(参考)他に関連情報はないの?
- JVNVU#92281641: Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性
- JVNDB-2019-013490 - JVN iPedia - 脆弱性対策情報データベース
- VU#619785 - Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP web server vulnerability
- CVE-2019-19781: Exploit Scripts for Remote Code Execution Vulnerability in Citrix ADC and Gateway Available - Blog | Tenable®
- Proof-of-concept code published for Citrix bug as attacks intensify | ZDNet
- [PDF] Fox-IT Advisory on Citrix vulnerability
更新履歴
- 2020年1月12日 AM 新規作成
- 2020年1月13日 AM Citrixのブログを追記
- 2020年1月14日 AM 脆弱性悪用により仕込まれるバックドアに関する情報を追記
- 2020年1月20日 AM Citrix SD-WAN WANOP等最新情報を反映
*1:基本値は10(AV:N/AC:L/Au:N/C:C/I:C/A:C)、現状値はE:H/RL:W/RC:Cで評価
*2:https://twitter.com/buffaloverflow/status/1215978791589294080/