Per evitare un attacco di Remote Code Execution in un ambiente di rete gestito tramite Citrix, meglio installare una patch. A diverse settimane dalla scoperta di vulnerabilità che interessano le versioni 10.5, 11.1, 12.0, 12.1 e 13.0 di Citrix Application Delivery e Citrix Gateway, Citrix ha rilasciato i correttivi software che risolvono il problema. Un problema che, secondo le stime della società di cybersicurezza Positive Technologies, interesserebbe circa 80mila aziende sparse in tutto il mondo.
Le indagini condotte da Citrix hanno permesso di accertare che la vulnerabilità, indicata come CVE-2019-19781, riguarda non solo le citate versioni di Citrix Application Delivery Controller (Citrix Adc, in precedenza noto come Netscaler Adc) e di Citrix Gateway (in precedenza Netscaler Gateway) ospitate su diversi hypervisor, ma anche alcuni deployment di Citrix S-Wan (in precedenza Netscaler SD-Wan). Più precisamente, è a rischio l’edizione SD-Wan Wanop, che impiega Citrix Adc per il bilanciamento dei carichi.
Alcune delle patch sono già state pubblicate, altre lo saranno nei prossimi giorni, secondo il calendario fissato da Citrix. L’azienda ha anche fornito uno strumento di verifica con cui gli amministratori IT possono assicurarsi di aver applicato i correttivi di sicurezza in modo corretto.
Nel frattempo, dopo la scoperta delle scorse settimane di un honeypot che stava scandagliando la rete Internet in cerca di istanze vulnerabili, da FireEye è giunta un’ulteriore allerta su un effettivo attacco ai server Citrix vulnerabili. L’autore ha sviluppato e distribuito attraverso Tor un payload chiamato NotRobin, che funziona in modo particolare: rimuove la vulnerabilità, bloccando così ulteriori attacchi, ma al contempo mantiene un accesso backdoor sulle istanze Citrix infettate.