El 25 de
Diciembre a través de Unaaldía se avisó de una vulnerabilidad en los sistemas
Citrix que podría permitir a un atacante remoto hacerse con el control del
sistema. Pero actualmente sigue sin actualización y se ha hecho
público una PoC fácilmente reproducible cómo exploit para su explotación.
Esta
situación es de extrema gravedad debido a que más de 25.000 servidores en todo
el mundo tienen instalado Citrix Application Delivery Controller (ADC) o Citrix
Gateway, por lo que los hace vulnerables.
El exploit
es una PoC (prueba de concepto) que consta de dos llamadas a curl: uno para
escribir un archivo de plantilla que incluiría el comando de shell del usuario
y la segunda solicitud para descargar el resultado de la ejecución del comando.
La
vulnerabilidad que permite a un atacante remoto no autenticado ejecute código
arbitrario en el sistema, tiene asociado el identificador CVE-2019-19781 con
una métrica de impacto Base de 10, debido a la escasa complejidad de
explotación.
Citrix por
su lado ha publicado una guía para mitigar la vulnerabilidad ya que hasta finales
de enero no tendrá lista una actualización de seguridad.
Más
información:
- PoC https://0day.life/exploit/0day-1935.html
- Guía de CIitrix https://support.citrix.com/article/CTX267679
- Información del CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781