Numéro : AL20-003
Date : 17 janvier 2020
AUDITOIRE
========
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés. Les destinataires de la présente information peuvent redistribuer celle-ci au sein de leurs organismes respectifs.
OBJET
=======
Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.
APERÇU
========
Le Centre pour la cybersécurité a été mis au courant de récentes compromissions qui ont eu lieu au Canada et qui découlent d'une vulnérabilité antérieurement signalée visant le Citrix Application Delivery Controller (ADC), anciennement désigné sous les appellations NetScaler ADC, Citrix Gateway ou NetScaler Gateway. Citrix a indiqué que les correctifs pour les produits touchés ne seraient pas disponibles avant la fin de janvier 2020. Citrix a fourni les étapes qu'il est recommandé de suivre pour atténuer la vulnérabilité en attendant que les correctifs soient publiés : s'il s'avérait impossible de mettre ces étapes en application, le Centre pour la cybersécurité recommande que les dispositifs Citrix vulnérables soient immédiatement déconnectés de l'Internet.
DÉTAILS
=======
Le Centre pour la cybersécurité est au courant que le code d'exploit d'une vulnérabilité non corrigée (CVE-2019-19781) des produits Citrix Application Delivery Controller et Citrix Gateway est disponible en ligne et que des activités d'exploitation ont été signalées à plusieurs occasions sur le Web depuis le début de janvier. Des rapports de source ouverte indiquent qu'un nombre de charges malveillantes ont déjà été téléversées dans le but de compromettre des dispositifs. Depuis le 16 janvier, les tests de pénétration de Metasploit incluent un module qui exploite cette vulnérabilité spécifique.
Dans certaines des exploitations signalées, un auteur de menace a été aperçu en train de téléverser, dans des serveurs Citrix, du code malveillant qui ajoute une porte dérobée tout en empêchant d'autres auteurs de pouvoir exploiter la vulnérabilité en question. Dans ce scénario, les auteurs de menace utilisent la commande curl pour aller chercher la porte dérobée sur un serveur dont l'adresse IP est 95[.]179[.]163[.]186.
Ainsi, CVE-2019-19781 peut être exploité par l'intermédiaire d'une attaque par traversée de répertoire dirigée contre le répertoire \vpn d'un système vulnérable. Des preuves de concepts (POC pour Proof of Concept) démontrent que ce type d'occurrence peut être suivi par une appel lancé à un script Pearl visant à ajouter des données XML trafiquées dans l'hôte vulnérable : les données XML trafiquées sont ensuite appelées à faire exécuter le code distant.
Comme les correctifs de cette vulnérabilité ne sont pas encore disponibles, le Centre pour la cybersécurité recommande que les responsables de systèmes consultent les sections « Atténuation » et « Indicateurs de compromission » de la présente alerte pour ensuite être en mesure de protéger leurs réseaux respectifs.
Compte tenu de la gravité de cette vulnérabilité et de l'ampleur des activités d'exploitation déjà observées et signalées, tant au Canada qu'à l'étranger, le Centre pour la cybersécurité recommande que tous les dispositifs Citrix vulnérables sur lesquels les mesures d'atténuation ne peuvent pas être appliquées soient déconnectés de l'Internet.
Les produits Citrix touchés sont les suivants :
- Citrix ADC et Citrix Gateway version 13.0 (toutes les éditions prises en charge);
- Citrix ADC et NetScaler Gateway version 12.1 (toutes les éditions prises en charge);
- Citrix ADC et NetScaler Gateway version 12.0 (toutes les éditions prises en charge);
- Citrix ADC et NetScaler Gateway version 11.1 (toutes les éditions prises en charge);
- Citrix Netscaler ADC et NetScaler Gateway version 10.5 (toutes les éditions prises en charge);
- Citrix SD-WAN WANOP (les logiciels et les appliances, modèles 4000, 4100, 5000 et 5100 (toutes les éditions prises en charge).
Le 17 janvier, Citrix a mis à jour son avis de sécurité pour indiquer qu'il y avait un bogue dans le produit Citrix ADC Release 12.1, éditions antérieures à 51.16/51.19 et 50.31. Ce bogue rendait impossible l'application efficace et fonctionnelle des étapes d'atténuation recommandées. Le Centre pour la cybersécurité recommande donc aux clients qui utilisent ces éditions boguées de procéder à une mise à jour à une édition qui ne présente pas ledit bogue, puis d'appliquer normalement les étapes d'atténuation.
ATTÉNUATION
===========
En attendant que les correctifs soient disponibles, le Centre pour la cybersécurité recommande aux responsables de systèmes d'appliquer les mesures d'atténuation que Citrix recommande par l'intermédiaire de son site Web. Il convient de noter que les étapes d'atténuation doivent être suivies dans l'ordre prescrit pour assurer que les systèmes vulnérables soient protégés. Les mesures d'atténuation recommandées par Citrix sont décrites dans l'article se trouvant à l'adresse suivante : https://support.citrix.com/article/CTX267679.
Le Centre pour la cybersécurité recommande fortement que les responsables de systèmes vérifient la version du logiciel Citrix ADC qui tourne sur les appliances Citrix, et ce, pour veiller à ce que les mesures d'atténuation soient efficacement appliquées en fonction de la version et de l'édition en place. Dans les cas où l'on constate que les appliances utilisent Citrix ADC release version 12.1 avec des éditions antérieures à 51.16/51.19 et 50.31, le Centre pour la cybersécurité recommande fortement que les responsables de systèmes effectuent immédiatement une mise à jour à une édition plus récente, puis appliquent les mesures d'atténuation énoncées plus haut : les étapes d'atténuation ne seront pas efficaces si elles sont appliquées à ces versions plus anciennes.
La Cybersecurity & Infrastructure Security Agency (CISA) a publié un outil permettant de vérifier si les mesures d'atténuation ont été adéquatement appliquées. Cet outil peut être trouvé dans le répertoire GIT de la CISA : https://github.com/cisagov/check-cve-2019-19781 .
De plus, le Centre pour la cybersécurité recommande que les responsables de systèmes appliquent les correctifs d'usage une fois qu'ils auront été rendus disponibles par Citrix. Prière de consulter l'article suivant publié par Citrix, dans lequel on retrouve une liste des versions que l'on est en train de corriger ainsi que les dates de publication. Il faudra porter une attention particulière à la section Informations additionnelles (Additional Information) qui se trouve à la fin de l'article: https://support.citrix.com/article/CTX267027 .
DÉTECTION
=========
Le Centre pour la cybersécurité recommande que les responsables de systèmes Citrix vulnérables examinent les journaux de requêtes Web pour voir s'ils contiennent des indices de tentatives de compromission. Les indicateurs pourraient comprendre ce qui suit :
- Entrées de journaux HTTP indiquant l'occurrence d'une attaque par traversée de répertoire avec /vpn (p. ex. “/vpn/../vpns/portal/scripts/newbm.pl”)
- Requêtes directes visant /vpns/ sans spécifier un fichier XML.
- Un POST suivi d'un GET pour un fichier XML.
- Un POST direct sans traversée de chemin (p. ex. “POST /vpns/portal/scripts/newbm.pl HTTP/1.1”)
Aux responsables de systèmes qui soupçonnent qu'une compromission pourraient avoir eu lieu, le Centre pour la cybersécurité recommande une analyse approfondie des systèmes de fichiers locaux et des fichiers de journalisation, plus particulièrement bash.log, sh.log et notice.log. Voici quelques-unes des activités suspectes possibles :
- Processus produits par httpd en tant que « nobody ».
- Exécutables suspects qui pourraient être exécutés par l'utilisateur « nobody » ou « null on ».
- Tâches CRON suspectes ou inhabituelles, particulièrement celles exécutées par l'utilisateur « nobody ».
- Fichiers récemment créés ou fichiers XML suspects, particulièrement dans les emplacements qui permettent l'octroi de droits d'accès en écriture (write) ou en exécution (execute), notamment /netscaler/portal/templates ou /var/tmp/netscaler/portal/templates.
De plus, le Centre pour la cybersécurité recommande de vérifier si les indicateurs suivants, qui constituent des indices de compromission par une porte dérobée, pourraient se trouver dans les systèmes Citrix vulnérables.
- Une tâche cron exécutée depuis le répertoire /var/nstmp/.nscache/httpd
- Fichiers créés dans le répertoire /netscaler/portal/scripts/ ou dans le répertoire netscaler/portal/templates/, dont les noms de fichier ressemblent à un hachage MD5 (p. ex. 64d4c2d3ee56af4f4ca8171556d50faa)
- Un processus en arrière-plan qui écoute le port UDP 18634
- Tout trafic qui répond depuis un dispositif Citrix sur le port UDP 18634
Les signatures suivantes pourraient être utilisées avec une diversité d'appliances de sécurité pour détecter les activités de tentative d'exploitation.
Snort:
alert http any any -> $HTTP_SERVERS any (msg:"ET EXPLOIT Possible Citrix Application Delivery Controller Arbitrary Code Execution Attempt (CVE-2019-19781)"; flow:established,to_server; content:"/vpns/"; http_uri; fast_pattern; content:"/../"; http_uri; metadata: former_category EXPLOIT; reference:url,support.citrix.com/article/CTX267679; reference:cve,2019-19781; classtype:attempted-admin; sid:2029206; rev:2; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, deployment SSLDecrypt, signature_severity Major, created_at 2019_12_30, updated_at 2019_12_30;)
Sigma:
title: Citrix Netscaler Attack CVE-2019-19781
description: Detects CVE-2019-19781 exploitation attempt against Citrix Netscaler, Application Delivery Controller and Citrix Gateway Attack
id: ac5a6409-8c89-44c2-8d64-668c29a2d756
references:
- https://support.citrix.com/article/CTX267679
- https://support.citrix.com/article/CTX267027
- https://isc.sans.edu/diary/25686
author: Arnim Rupp, Florian Roth
status: experimental
date: 2020/01/02
modified: 2020/01/11
logsource:
category: webserver
description: 'Make sure that your Netscaler appliance logs all kinds of attacks (test with http://your-citrix-gw.net/robots.txt)'
detection:
selection:
c-uri-path:
- '*/../vpns/*'
- '*/vpns/cfg/smb.conf'
- '*/vpns/portal/scripts/newbm.pl*'
condition: selection
fields:
- client_ip
- vhost
- url
- response
falsepositives:
- Unknown
level: critical
Yara:
rule EXPL_Citrix_Exploit_Code_Jan20_1 {
meta:
description = "Detects payloads used in Citrix exploitation CVE-2019-19781"
author = "Florian Roth"
reference = "https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+Overview+of+Observed+Payloads/25704/"
date = "2020-01-13"
score = 70
type = "file"
strings:
$ = "/netscaler/portal/scripts/rmpm.pl" ascii
$ = "tee /netscaler/portal/templates/" ascii
$ = "exec(\\'(wget -q -O- http://" ascii
$ = "cd /netscaler/portal; ls" ascii
$ = "-H \"NSC_USER: " ascii
$ = "cat /flash/nsconfig/ns.conf" ascii
$ = "/netscaler/portal/scripts/PersonalBookmak.pl" ascii
$ = "template.new({'BLOCK'='print readpipe(" ascii /* TrustedSec template */
$ = "pwnpzi1337" fullword ascii /* PZI india static user name */
$ = "template.new({'BLOCK'=" /* PZI exploit URL decoded form */
$ = "template.new({'BLOCK'%3d" /* PZI exploit URl encoded form */
$ = "my ($citrixmd, %FORM);" /* Perl backdoor */
$ = "(CMD, \"($citrixmd) 2>&1" /* Perl backdoor */
condition:
1 of them
}
INDICATEURS DE COMPROMISSION:
=============================
Indicateurs des adresses URL :
hxxp://185[.]178[.]45[.]221/ci2.sh
hxxp://159[.]69[.]37[.]196/sites/default/files/test/cmd.pl
hxxp://185[.]178[.]45[.]221/ci3.sh
hxxp://stan[.]sh
hxxp://www.jdjd[.]com/sks.rar
hxxps://pastebin[.]com/raw/d3SY1erQ
hxxp://61[.]218[.]225[.]74/snspam/lurk/shell/am.txt
Indicateurs des adresses IP :
188[.]166[.]106[.]153
192[.]3[.]255[.]144
31[.]134[.]200[.]75
51[.]68[.]122[.]93
81[.]110[.]55[.]125
82[.]27[.]64[.]190
109[.]70[.]100[.]22
37[.]220[.]31[.]72
185[.]118[.]166[.]67
193[.]187[.]174[.]104
185[.]178[.]45[.]221
95[.]179[.]163[.]186
Nota : Certains indicateurs d'adresses URL et d'adresses IP ont été fournis par Didier Stevens et par l'Internet Storm Center. Les règles de détection ont été fournies par leurs auteurs respectifs aux fins d'utilisation.
Documents de référence :
==========
17 décembre 2019, Bulletin de sécurité Citrix CTX267027: https://support.citrix.com/article/CTX267027
Article de Citrix décrivant les étapes des mesures d'atténuation avant la publication des correctifs : https://support.citrix.com/article/CTX267679
Script CISA Python permettant d'établir si un hôte est vulnérable à CVE-2019-19781: https://github.com/cisagov/check-cve-2019-19781
Billet du forum d'Internet Storm Center « Citrix ADC Exploits: Overview of Observed Payloads » :
https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+Overview+of+Observed+Payloads/25704
FIREEYE Blogue de recherche sur les menaces dans lequel on décrit des maliciels utilisant les portes dérobées :
https://www.fireeye.com/blog/threat-research/2020/01/vigilante-deploying-mitigation-for-citrix-netscaler-vulnerability-while-maintaining-backdoor.html
NOTE AUX LECTEURS
===============
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du CCC agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert, et coordonne les communications d’information et l’intervention en cas d’incidents. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et resilient.