Vulnérabilité permettant une exécution de code arbitraire affectant les solutions Citrix
Date de publication :
Une vulnérabilité a été identifiée dans les solutions Citrix Application Delivery Controller (ADC), anciennement connu sous le nom de NetScaler ADC, et Citrix Gateway, anciennement connu sous le nom de NetScaler Gateway.
La CVE-2019-19781 [Score CVSS v3 : 9.8] a été assignée pour cette vulnérabilité mais aucun détail technique n'a encore été publié. Cependant, l'éditeur a annoncé qu'elle permettait à un attaquant non authentifié d'exécuter du code arbitraire à distance.
À ce jour, le correctif n’est pas encore disponible mais une solution palliative est documentée sur le site de l’éditeur (voir la section Recommandations). La cellule ACSS recommande d’appliquer cette solution de contournement rapidement, en attendant la mise à disposition du correctif de sécurité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire à distance
Criticité
-
Score CVSS v3 : 9.8 (Critique)
Existence d’un code d’exploitation de la vulnérabilité
-
Un code d'exploitation est disponible publiquement
Composants & versions vulnérables:
-
Citrix ADC et Citrix Gateway version 13.0
Citrix ADC et NetScaler Gateway version 12.1
Citrix ADC et NetScaler Gateway version 12.0
Citrix ADC et NetScaler Gateway version 11.1
Citrix NetScaler ADC et NetScaler Gateway version 10.5
CVE
Solutions ou recommandations
Mise en place de correctif de sécurité
- Les correctifs de sécurité seront publiés :
- le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
- le 27 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x
- le 31 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x
Solution de contournement
- Citrix a publié la solution de contournement ici. Elle consiste à ajouter une règle de filtrage pour bloquer certaines requêtes http mal formées. Cette solution palliative ne sera efficace que si l’ensemble des prérequis documentés dans la section « Additional Information » sont respectés.