Gepubliceerde code vereenvoudigt misbruik van kwetsbaarheid in Citrix ADC en Unified Gateway

Bedrijven die hun Citrix Application Delivery Controller of Unified Gateway - voorheen bekend als NetScalers ADC en NetScaler Gateway - nog niet hebben geüpdatet doen er verstandig aan dit zo snel mogelijk te doen. Code waarmee een kritiek beveiligingsprobleem kan worden misbruikt is online gepubliceerd, wat misbruik van de kwetsbaarheid vereenvoudigt.

Het lek is in de CVE-database geïdentificeerd als CVE-2019-19781. De kwetsbaarheid is eind december ontdekt. Toen waren er zeker 80.000 systemen kwetsbaar voor het lek. 25.000 hiervan bleken afgelopen weekend nog steeds kwetsbaar te zijn. Dit betekent dat deze systemen niet zijn voorzien van de update waarmee het beveiligingslek door Cisco is gedicht.

Controle over systemen overnemen

De noodzaak deze patch te installeren is toegenomen nadat exploit code door beveiligingsonderzoekers online is gepubliceerd. Met behulp van deze code is het mogelijk het beveiligingsprobleem uit te buiten en systemen aan te vallen. Het lek maakt het mogelijk code uit te voeren op systemen zonder hiervoor te hoeven inloggen. Aanvallers kunnen hiermee de controle over systemen overnemen.

Het publiceren van de code is overigens niet het startsein voor misbruik van de kwetsbaarheid. Het SANS Internet Storm Center (ISC) meldde op 3 januari al de eerste poging om het lek te misbruiken gedetecteerd te hebben. Een zoekopdracht op zoekmachine Shodan wijst uit dat ruim 125.000 Citrix ADC en Gateway hosts publiek beschikbaar zijn via internet. Nate Warfield van het Microsoft Security Response Center stelt dat ieder systeem dat hij heeft gepubliceerd in de praktijk kwetsbaar blijkt voor CVE-2019-19781.