Nuovi strumenti di verifica per la vulnerabilità in Citrix

05/02/2020

citrix cve-2019-19781

Lo scorso dicembre è stata rilevata una vulnerabilità (CVE-2019-19781) in Citrix Application Delivery Controller (NetScaler ADC) e Citrix Gateway (NetScaler Gateway). Il bug, come precedentemente riportato, consentirebbe ad un utente remoto non autenticato di eseguire codice arbitrario su un sistema vulnerabile.

In attesa di una patch, nelle scorse settimane Citrix ha rilasciato uno strumento di verifica per gli amministratori IT per testare che le correzioni siano state applicate correttamente e un advisory per la mitigazione temporanea della vulnerabilità. Nei giorni scorsi, inoltre, ha rilasciato una serie di patch per la correzione della vulnerabilità. 

Nonostante le patch rilasciate, la CISA (Cybersecurity and Infrastructure Security Agency) ha emanato un bollettino (AA20-031A) contenente strumenti che possono essere utilizzati dagli amministratori IT per verificare la possibile compromissione.

Le verifiche sono incentrate su HTTP Access ed Error Log Review: entrambi i file di registro, httpaccess.log e httperror.log dovrebbero essere verificati per i seguenti URI:

  • ‘*/../vpns/*’
  • ‘*/vpns/cfg/smb.conf’
  • ‘*/vpns/portal/scripts/newbm.pl*’
  • ‘*/vpns/portal/scripts/rmbm.pl*’
  • ‘*/vpns/portal/scripts/picktheme.pl*’

A tal proposito, la società FireEye ha fornito i seguenti comandi grep per facilitare la revisione del registro e identificare eventuali attività sospette:

  • grep -iE 'POST.*\.pl HTTP/1\.1\" 200 ' /var/log/httpaccess.log -A 1
  • grep -iE 'GET.*\.xml HTTP/1\.1\" 200' /var/log/httpaccess.log -B 1

Inoltre, è possibile analizzare i processi in esecuzione e identificare eventuali backdoor, verificare la presenza di NOTROBIN (in questo caso bisogna cercare la directory di gestione temporanea e i processi in esecuzione) e infine, analizzare la Additional /var/log Review attraverso l’identificazione di eventuali comandi sospetti che potrebbero essere stati eseguiti, come whoami o curl.

Altre verifiche riguardano l’esistenza di file sospetti poichè gli utenti che hanno sfruttato la vulnerabilità presentano file dannosi nelle seguenti directory:

  • /netscaler/portal/templates
  • /var/tmp/netscaler/portal/templates

Infine il comunicato della CISA consiglia di cercare URI contenenti  /../ o /vpns/ per identificare eventuali attività potenzialmente dannose. È opportuno inoltre esaminare il traffico per eventuali richieste di file .xml o file perl (.pl), poiché ciò non sarebbe coerente con la normale attività Web Citrix.