VARSEL (TLP:CLEAR)

[NCSC-varsel] Ny oppdatering til Citrix-sårbarhet CVE-2019-19781

17-01-2020

NCSC ønsker å komme med en oppdatering rundt Citrix-sårbarheten CVE-2019-19781 først publisert 17. desember [1].

 

Mitigering som beskrevet av Citrix [2] fungerer ikke som tilsiktet for Citrix ADC versjon 12.1 bygg før 51.16, 51.19 og 50.31. Virksomheter som benytter disse versjonene av Citrix ADC anbefales å oppdatere til en versjon som støtter mitigering og at denne implementeres.

 

Citrix har i tillegg oppdatert beskrivelsen over sårbare produkter [1] til å inkludere alle støttede bygg av Citrix SD-WAN WANOP-modeller 4000, 4100, 5000 og 5100. Dette utvider listen over sårbare enheter til alle støttede bygg av

følgende:

 

* Citrix ADC og Citrix Gateway versjon 13.0

* Citrix ADC og NetScaler Gateway versjon 12.1

* Citrix ADC og NetScaler Gateway versjon 12.0

* Citrix ADC og NetScaler Gateway versjon 11.1

* Citrix NetScaler ADC og NetScaler Gateway versjon 10.5

* Citrix SD-WAN WANOP-modeller 4000, 4100, 5000, og 5100

 

Det må antas at enheten er kompromittert dersom implementasjon av mitigerende tiltak ble gjort etter fredag 10. januar. Det er i noen grad mulig å bekrefte eller avkrefte kompromittering ved å gjøre tekniske undersøkelser [3].

 

Dersom en blir stående på en versjon hvor mitigering ikke har tiltenkt effekt, eller ikke implementerer mitigering, er det høy sannsynlighet for at enheten blir kompromittert om den ikke allerede er kompromittert.

 

NCSC har observert aktiv utnyttelse i Norge.

 

Referanser:

[1] https://support.citrix.com/article/CTX267027

[2] https://support.citrix.com/article/CTX267679

[3] https://www.trustedsec.com/blog/netscaler-remote-code-execution-forensics/

[4] https://www.fireeye.com/blog/threat-research/2020/01/vigilante-deploying-mitigation-for-citrix-netscaler-vulnerability-while-maintaining-backdoor.html