Citrix سرانجام انتشار وصلههای امنیتی برای یک آسیبپذیری بحرانی در ADC و نرمافزار Gateway را آغاز کرده است. مهاجمان از اوایل ماه جاری، پس از آنکه این شرکت از وجود این مسأله خبر داد بدون اینکه یک وصلهی دائمی منتشر کند، از آن بهرهبرداری میکنند.
از آنجا که مهاجمان وقت تلف نمیکنند و هیچ فرصتی را برای بهرهبرداری از سیستمهای آسیبپذیر از دست نمیدهند، حتی یک تأخیر زمانی کوتاه در انتشار وصله نیز موجب آسیب دیدن صدها سیستم Gateway و ADC شرکت Citrix میشود.
این آسیبپذیری که با شناسهی CVE-2019-19781 ردیابی میشود، یک مسألهی پیمایش مسیر است که به مهاجمان راه دور احراز هویت نشده اجازه میدهد تا کد دلخواه را در چند نسخه از محصولات Gateway و ADC شرکت Citrix و در دو نسخهی قدیمیتر SD-WAN WANOP این شرکت اجرا کنند.
این مسأله که در سیستم نمرهدهی CVSS v3.1 امتیاز ۹٫۸ دارد بحرانی ارزیابی شده و توسط یکی از پژوهشگران Positive Technologies کشف و در اوایل ماه دسامبر به شرکت Citrix گزارش شد. این آسیبپذیری از هفتهی گذشته توسط دهها گروه نفوذ و مهاجم مستقل مورد بهرهبرداری قرار گرفته است.
بهگفتهی کارشناسان امنیت سایبری، درحالحاضر بیش از ۱۵ هزار سرور Gateway و ADC آسیبپذیر در دسترس عموم قرار دارد که مهاجمان میتوانند از آنها برای هدف قرار دادن شبکههای سازمانی بهرهبرداری کنند.
کارشناسان FireEye یک پویش حمله کشف کردند که در آن مهاجم ADSهای آسیبپذیر را در معرض نصب بار دادهای به نام NotRobin قرار میداد که سیستمها را برای استخراجکنندگان و بدافزارهای مستقرشده توسط مهاجمان دیگر اسکن میکند و آنها را برای حفظ دسترسی انحصاری حذف میکند.
فایرآی بیان میکند که این عامل تهدید با استفاده از CVE-2019-19781 از دستگاههای NetScaler بهرهبرداری میکند تا دستورات شِل را در دستگاه آسیبدیده اجرا کند. فایرآی معتقد است که عامل تهدید پشت پردهی NOTROBIN دستگاههای NetScaler را در معرض خطر قرار داده است تا برای پویش آینده آماده شوند. آنها سایر بدافزارهای شناختهشده را حذف میکنند تا از شناسایی آنها توسط مدیران جلوگیری کنند.
هفتهی گذشته Citrix یک جدول زمانی برای انتشار وصله منتشر کرد و وعده داد که قبل از پایان ماه ژانویهی سال جاری برای همهی نسخههای پشتیبانیشدهی ADC و نرمافزار Gateway بهروزرسانیهای ثابتافزاری وصلهشده منتشر کند.
Citrix در ۲۰ ژانویه وصلههای دائمی برای نسخههای ۱۱٫۱ و ۱۲٫۰ ADC منتشر کرد که برای ADC و Gateway VPX میزبانیشده در ESX، Hyper-V، KVM، XenServer، Azure، AWS، GCP یا یک ADC Service Delivery Appliance نیز اعمال میشود.
Citrix در مشاورهنامهی خود بیان میکند که لازم است همهی نمونههای ADC و Gateway نسخهی ۱۱٫۱ Citrix به نسخهی ۱۱٫۱٫۶۳ بهروزرسانی شوند تا وصلههای آسیبپذیری امنیتی را نصب کنند. لازم است همهی نمونههای ADC و Gateway نسخهی ۱۲٫۰ Citrix به نسخهی ۱۲٫۰٫۶۳٫۱۳ بهروزرسانی شوند تا وصلههای آسیبپذیری امنیتی را نصب کنند.
این شرکت بیان کرد که کاربران خود را تشویق میکند تا در اسرع وقت این وصلهها را نصب کنند. این شرکت همچنین هشدار داد که مشتریانی که چند نسخهی مختلف از ADC دارند باید نسخهی درست وصلهها را بهطور مجزا در هر سیستم اعمال کنند. علاوهبر نصب وصلههای در دسترس برای نسخههای پشتیبانیشده و اعمال راهکارهای مقابلهای توصیهشده برای سیستمهای وصلهنشده، به مدیران ADC توصیه میشود که بر گزارش حملات در دستگاه خود نظارت کنند.