Vulnerabilidades do ADC (Application Delivery Controller) foram anunciadas dia 17 de Dezembro. Patches só a partir do dia 20, segundo anúncio da empresa. Empresa publicou esquema de mitigação
Exploits e mais exploits estão sendo feitos ou adaptados para ataque ao Citrix ADC – Application Delivery Controller, da Citrix, que tem uma vulnerabilidade já registrada como “CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller and Citrix Gateway”. A publicação aconteceu dia 17 de Dezembro mas o problema existe desde 2014. A Citrix publicou uma mitigação mas ainda não publicou um patch, de modo que os maus atores e bandidos estão bombardeando os servidores, alertam os especialistas.
Um deles, Johannes Ullrich, relata que na noite de sexta-feira, dia 10, vários grupos lançaram exploits funcionais para essa falha. Segundo o pesquisador, um desses grupos, chamado “Project Zero India” lançou um exploit simples, essencialmente consistindo em dois comandos. O primeiro gravará um arquivo de modelo que inclui um comando à escolha do usuário. A segunda solicitação fará o download do resultado da execução do comando. A Citrix anunciou que dia 20 sai um patch para as versões11, 12 e 13 do ADC. A versão 10 só terá patch a partir de 31 de Janeiro.
Inicialmente, havia perto de 80.000 organizações consideradas vulneráveis, mas o pesquisador Craig Young, da Tripwire, descobriu apenas 58.620 endereços IP de “provavelmente vulneráveis”. Agora, 21 dias após a Citrix publicar seu comunicado, menos de um terço dos dispositivos expostos tiveram a mitigação ativada, com 39.378 deles permanecendo vulneráveis.
A falha, descoberta pela empresa de segurança Positive Technologies, está na ferramenta de entrega de aplicativos em nuvem da Citrix, bem como em um produto que permite acesso remoto aos aplicativos da empresa. Com base na popularidade dessas ferramentas de software, a Positive Technologies afirmou que a vulnerabilidade poderia afetar “dezenas de milhares” de empresas.
