Una vulnerabilità in Citrix Application Delivery Controller (ADC) e NetScaler gateway, nome in codice "Shitrix", permette l'esecuzione remota di applicazioni arbitrarie ed è quindi classificata come altamente critica. Ora un exploit proof-of-concept è stato pubblicato e le aziende colpite devono agire immediatamente!
In realtà è iniziato in modo poco spettacolare: A metà dicembre, è stata trovata una vulnerabilità di sicurezza in un bilanciatore di rete di Citrix. Questo software è usato in tutto il mondo nelle aziende e dagli operatori di rete e assicura una distribuzione uniforme del carico di rete per evitare ritardi dovuti a picchi di carico. Questo rende i servizi web, tra le altre cose, meno vulnerabili agli attacchi DDoS. La vulnerabilità, tuttavia, permette l'esecuzione remota di applicazioni arbitrarie ed è quindi classificata come altamente critica.
Fino al fine settimana, tuttavia, non esisteva alcun codice di programma per sfruttare la vulnerabilità (CVE 2019-19781). Pertanto, i criminali inizialmente si sono limitati a cercare i sistemi potenzialmente vulnerabili. Un gruppo che si fa chiamare "Project Zero India" (che, nonostante il nome, non ha nulla a che fare con il "Project Zero" di Google) ha poi pubblicato un proof-of-concept sul web, che è stato molto rapidamente raccolto. Un attacco può essere effettuato con relativamente poco sforzo, come si legge su ZDNet. Gli esperti parlano di una delle vulnerabilità di sicurezza più pericolose degli ultimi anni.
Nell'ultima settimana, CERT-Bund ha segnalato 4.957 gateway VPN #Citrix/#NetScaler vulnerabili agli operatori di rete tedeschi. Di questi, 3.338 sono attualmente ancora vulnerabili. pic.twitter.com/UaTz6RjY29
- CERT-Bund (@certbund) January 13, 2020
Il CERT-BUND tedesco sta lanciando l'allarme e ha già informato quasi 5.000 operatori sulla vulnerabilità e ha chiesto loro di correggerla il prima possibile. Tra quelli informati ci sono operatori di infrastrutture critiche come ospedali, fornitori di energia o autorità pubbliche.
"La vulnerabilità permette di accedere alla struttura delle directory di un sistema vulnerabile", spiega Tim Berghoff, G DATA Security Evangelist. "Non è richiesta alcuna autenticazione, quindi un attacco può essere effettuato da remoto attraverso una richiesta appositamente elaborata al sistema. Le aziende dovrebbero controllare i loro sistemi e implementare immediatamente le misure raccomandate."
Perché Citrix ADC e i gateway NetScaler sono utilizzati da un gran numero di aziende e fornitori di rete in tutto il mondo, non ci è voluto molto perché gli aggressori iniziassero a cercare sistemi vulnerabili. Citrix ha compilato rapidamente una lista di misure immediate per gli operatori dei sistemi colpiti dopo che si è saputo e consiglia vivamente di implementarle. Una versione sicura di Citrix ADC è attesa a breve - le ultime informazioni sono anche compilate sul sito web di Citrix, incluse le date in cui le patch saranno disponibili.