certfr_alerte - certfr-2020-ale-002

CERTFR-2020-ALE-002

Vulnerability from certfr_alerte

[Mise à jour du 26 juin 2020]

Le CERT-FR a pris connaissance de compromissions récentes de serveurs Citrix dans le cadre d'attaques ciblées. Il est rappelé que la vulnérabilité affecte tous les systèmes déclarés ci-dessus, même si la fonctionnalité VPN n'est pas activée.

Le CERT-FR rappelle donc qu'il est impératif de :

Procéder sans attendre à la mise à jour de vos serveurs Citrix en respectant la procédure standard de l’éditeur : réinstallation complète des serveurs puis restauration d’une configuration à partir d’une sauvegarde antérieure au 10 janvier 2020 ;
Révoquer et renouveler les certificats x509 déployés sur ces serveurs ainsi que sur tous les équipements qui les utilisent également (certificats multi-domaines par exemple);
Modifier les mots de passe des administrateurs et des utilisateurs qui utilisent le service Citrix ;
Modifier les mots de passe des comptes techniques configurés sur l’équipement (compte LDAP, compte Radius, compte Active Directory, etc.) ;

D’autre part, l’exposition sur Internet augmente les opportunités d’attaque visant à usurper l’identité d’un utilisateur nomade si le processus d’authentification n’est pas suffisamment robuste. Le CERT-FR recommande donc la mise en œuvre d’une authentification à double facteur afin de réduire ce risque.

Enfin, nous vous recommandons la lecture du bulletin CERTFR-2020-ACT-001 [5] sur la sécurisation des services exposés sur Internet.

[Mise à jour du 30 janvier 2020]

Le CERT-FR a pris connaissance de la compromission de clés privées sur des serveurs hébergeant le logiciel Citrix vulnérable. Ces clés privées sont pour certaines, associées à des certificats multi-domaines (wildcard).

Par conséquence, les attaquants sont en mesure d'usurper l'identité des services sécurisés pour l'ensemble des domaines et sous-domaines concernés.

Le CERT-FR recommande donc fortement d'appliquer les mesures de prévention suivantes :

renouveler l'ensemble des éléments secrets stockés sur la machine et entreprendre les actions appropriées en conséquence ;
révoquer les certificats potentiellement compromis ;
étudier la possibilité de limiter la portée des certificats multi-domaines pour limiter l'impact d'une future compromission ;
renouveler les certificats sur les serveurs hébergeant le logiciel Citrix ainsi que tout autre serveur utilisant les certificats multi-domaines présents sur les serveurs hébergeants le logiciel compromis.

Le CERT-FR recommande également de complètement réinstaller les serveurs Citrix avant d'appliquer la mise à jour afin de repartir d'une base saine. Pour ce faire, il est aussi conseillé d'utiliser une sauvegarde de la configuration antérieure à décembre 2019.

[Mise à jour du 27 janvier 2020]

Les correctifs pour toutes les versions supportées sont disponibles. Le CERT-FR recommande de les installer dans les plus brefs délais.

[Mise à jour du 23 janvier 2020]

Le 22 janvier 2020, Citrix a fourni, en collaboration avec FireEye, un outil qui tente de rechercher des possibles exploitations de la vulnérabilité CVE-2019-19781. Contrairement à l'outil fourni le 17 janvier qui permet de rechercher des machines vulnérables sur le réseau, il doit être lancé en local.

FireEye indique que l'outil doit être lancé avec les privilèges administrateur et ne garantit pas de repérer toutes les compromissions.

L'outil est présenté sur le site de FireEye et est disponible sur GitHub.

[Mise à jour du 20 janvier 2020]

Le 19 janvier 2020, Citrix a publié les correctifs pour les versions 12.0.x et 11.1.x.

La date de disponibilité des correctifs pour les autres versions a également été avancée au 24 janvier 2020.

Concernant les versions pour lesquelles certaines mesures de contournement ne fonctionnent pas, Citrix a clarifié sa position. Seule la version "12.1 build 50.28" est affectée. Il est recommandé dans ce cas de migrer vers la version "12.1 build 50.28/50.31" ou une version ultérieure.

[Mise à jour du 17 janvier 2020]

Le 16 janvier 2020, Citrix a mis à jour son bulletin de sécurité concernant la vulnérabilité CVE-2019-19781.

Citrix annonce que la mesure de contournement proposée en attendant la sortie des correctifs ne fonctionne pas pour les versions 12.1.x suivantes:

Citrix ADC et NetScaler Gateway versions 12.1.51.16 à 12.1.51.19
Citrix ADC et NetScaler Gateway versions 12.1.50.31

Citrix recommande de migrer vers une version sur laquelle il est possible d'appliquer la mesure de contournement.

Citrix a également annoncé que les modèles Citrix SD-WAN WANOP 4000, 4100, 5000 et 5100 sont également affecté par la vulnérabilité CVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020 pour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.

Enfin, Citrix a fourni un outil en Python afin de tester si son équipement est vulnérable : https://support.citrix.com/article/CTX269180

De manière générale, le CERT-FR recommande d'étudier la possibilité de déconnecter les serveurs Citrix concernés en attendant la mise à jour.

[Mise à jour du 13 janvier 2020]

Des codes d'exploitation ont été publiés dans la nuit du 10 au 11 janvier 2020. Leur utilisation a été rapportée par plusieurs sources publiques.

Le 11 janvier 2020, Citrix a publié les dates de disponibilités des correctifs qui sont les suivantes :

le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
le 27 janvier 2020 24 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x
le 31 janvier 2020 24 janvier 2020 pour NetScaler ADC et NetScaler Gateway versions 10.5.x

[Version Initiale]

Le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2019-19781 affectant les logiciels Citrix ADC et Citrix Gateway. Une campagne de détection fait partie de la phase de reconnaissance qui est préalable à la phase d'exploitation.

Pour rappel, la vulnérabilité CVE-2019-19781 permet une exécution de code arbitraire à distance. Citrix n'a pas encore publié de correctif de sécurité mais a proposé des mesures de contournements (cf. section Documentation).

Dans l'attente de la publication d'un correctif, le CERT-FR recommande fortement l'application des mesures de contournement.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Contournement provisoire

Se référer au bulletin de sécurité de l'éditeur pour l'obtention du contournement (cf. section Documentation).

None

Impacted products

Vendor	Product	Description
Citrix	N/A	Citrix SD-WAN WANOP versions antérieures à 10.2.6b et 11.0.3b (Citrix ADC v11.1.51.615)
Citrix	NetScaler Gateway	Citrix ADC et NetScaler Gateway versions 12.0.x antérieures à 12.0.63.13
Citrix	N/A	Citrix NetScaler ADC et NetScaler Gateway versions 10.5.x antérieures à 10.5.70.12
Citrix	NetScaler Gateway	Citrix ADC et NetScaler Gateway versions 11.1.x antérieures à 11.1.63.15
Citrix	N/A	Citrix ADC et Citrix Gateway versions 13.0.x antérieures à 13.0.47.24
Citrix	NetScaler Gateway	Citrix ADC et NetScaler Gateway versions 12.1.x antérieures à 12.1.55.18

References

Title

Publication Time

Tags

[1] Bulletin de sécurité Citrix CTX267027 du 17 décembre 2019	None	vendor-advisory
[3] Avis CERT-FR CERTFR-2019-AVI-640 du 18 décembre 2019	-	other
[2] Descriptif du contournement à appliquer en date du 17 décembre 2019	-	other
[5] Bulletin CERTFR-2020-ACT-001 du 05 février 2020	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Citrix SD-WAN WANOP versions ant\u00e9rieures \u00e0 10.2.6b et 11.0.3b (Citrix ADC v11.1.51.615)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    },
    {
      "description": "Citrix ADC et NetScaler Gateway versions 12.0.x ant\u00e9rieures \u00e0 12.0.63.13",
      "product": {
        "name": "NetScaler Gateway",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    },
    {
      "description": "Citrix NetScaler ADC et NetScaler Gateway versions 10.5.x ant\u00e9rieures \u00e0 10.5.70.12",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    },
    {
      "description": "Citrix ADC et NetScaler Gateway versions 11.1.x ant\u00e9rieures \u00e0 11.1.63.15",
      "product": {
        "name": "NetScaler Gateway",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    },
    {
      "description": "Citrix ADC et Citrix Gateway versions 13.0.x ant\u00e9rieures \u00e0 13.0.47.24",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    },
    {
      "description": "Citrix ADC et NetScaler Gateway versions 12.1.x ant\u00e9rieures \u00e0 12.1.55.18",
      "product": {
        "name": "NetScaler Gateway",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2020-07-31",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\n## Contournement provisoire\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention du\ncontournement (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2019-19781",
      "url": "https://www.cve.org/CVERecord?id=CVE-2019-19781"
    }
  ],
  "initial_release_date": "2020-01-09T00:00:00",
  "last_revision_date": "2020-07-31T00:00:00",
  "links": [
    {
      "title": "[3] Avis CERT-FR CERTFR-2019-AVI-640 du 18 d\u00e9cembre 2019",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/"
    },
    {
      "title": "[2] Descriptif du contournement \u00e0 appliquer en date du 17 d\u00e9cembre 2019",
      "url": "https://support.citrix.com/article/CTX267679"
    },
    {
      "title": "[5] Bulletin CERTFR-2020-ACT-001 du 05 f\u00e9vrier 2020",
      "url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-001/"
    }
  ],
  "reference": "CERTFR-2020-ALE-002",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-01-09T00:00:00.000000"
    },
    {
      "description": "Ajout des dates de disponibilit\u00e9 des correctifs de s\u00e9curit\u00e9",
      "revision_date": "2020-01-13T00:00:00.000000"
    },
    {
      "description": "Probl\u00e8me de la mesure de contournement sur certaines versions, modification de la liste de produits vuln\u00e9rables et mise \u00e0 disposition d\u0027un outil de test de vuln\u00e9rabilit\u00e9.",
      "revision_date": "2020-01-17T00:00:00.000000"
    },
    {
      "description": "Disponibilit\u00e9 des correctifs pour certaines versions ; la date de sortie des correctifs a \u00e9t\u00e9 avanc\u00e9e pour toutes les versions ; clarification des versions pour lesquelles les mesures de contournement ne fonctionnent pas.",
      "revision_date": "2020-01-20T00:00:00.000000"
    },
    {
      "description": "FireEye met \u00e0 disposition un outil de recherche de compromission.",
      "revision_date": "2020-01-23T00:00:00.000000"
    },
    {
      "description": "Les correctifs sont disponibles.",
      "revision_date": "2020-01-27T00:00:00.000000"
    },
    {
      "description": "Ajout de recommandations suite \u00e0 la compromissions de plusieurs cl\u00e9 priv\u00e9es sur des machines vuln\u00e9rables.",
      "revision_date": "2020-01-31T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2020-05-05T00:00:00.000000"
    },
    {
      "description": "R\u00e9ouverture de l\u0027alerte suite \u00e0 des compromissions de serveurs vuln\u00e9rables. Rappel des mesures \u00e0 prendre.",
      "revision_date": "2020-06-26T00:00:00.000000"
    },
    {
      "description": "La cl\u00f4ture d\u0027une alerte ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2020-07-31T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Mise \u00e0 jour du 26 juin 2020\\]\u003c/strong\u003e\n\nLe CERT-FR a pris connaissance de \u003cstrong\u003ecompromissions r\u00e9centes\u003c/strong\u003e de\nserveurs Citrix dans le cadre d\u0027attaques cibl\u00e9es. Il est rappel\u00e9 que la\nvuln\u00e9rabilit\u00e9 affecte tous les syst\u00e8mes d\u00e9clar\u00e9s ci-dessus, \u003cstrong\u003em\u00eame si la\nfonctionnalit\u00e9 VPN n\u0027est pas activ\u00e9e\u003c/strong\u003e.\n\nLe CERT-FR rappelle donc qu\u0027il est \u003cstrong\u003eimp\u00e9ratif\u003c/strong\u003e de :\n\n-   Proc\u00e9der \u003cu\u003esans attendre\u003c/u\u003e \u00e0 la mise \u00e0 jour de vos serveurs\n    Citrix en respectant la proc\u00e9dure standard de l\u2019\u00e9diteur\u00a0:\n    r\u00e9installation compl\u00e8te des serveurs puis restauration d\u2019une\n    configuration \u00e0 partir d\u2019une sauvegarde ant\u00e9rieure au 10 janvier\n    2020\u00a0;\n-   R\u00e9voquer et renouveler les certificats x509 d\u00e9ploy\u00e9s sur ces\n    serveurs ainsi que sur tous les \u00e9quipements qui les utilisent\n    \u00e9galement (certificats multi-domaines par exemple);\n-   \u003cspan style=\"color: #000000;\"\u003eModifier les mots de passe des\n    administrateurs et des utilisateurs qui utilisent le service\n    Citrix\u00a0;\u003c/span\u003e\n-   \u003cspan style=\"color: #000000;\"\u003eModifier les mots de passe des comptes\n    techniques configur\u00e9s sur l\u2019\u00e9quipement (compte LDAP, compte Radius,\n    compte Active Directory, etc.)\u00a0;\u003c/span\u003e\n\nD\u2019autre part, l\u2019exposition sur Internet augmente les opportunit\u00e9s\nd\u2019attaque visant \u00e0 usurper l\u2019identit\u00e9 d\u2019un utilisateur nomade si le\nprocessus d\u2019authentification n\u2019est pas suffisamment robuste. Le CERT-FR\nrecommande donc la mise en \u0153uvre d\u2019une authentification \u00e0 double facteur\nafin de r\u00e9duire ce risque.\n\nEnfin, nous vous recommandons la lecture du bulletin CERTFR-2020-ACT-001\n\\[5\\] sur la s\u00e9curisation des services expos\u00e9s sur Internet.\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 30 janvier 2020\\]\u003c/strong\u003e\n\nLe CERT-FR a pris connaissance de la compromission de cl\u00e9s priv\u00e9es sur\ndes serveurs h\u00e9bergeant le logiciel Citrix vuln\u00e9rable. Ces cl\u00e9s priv\u00e9es\nsont pour certaines, associ\u00e9es \u00e0 des certificats multi-domaines\n(*wildcard*).\n\nPar cons\u00e9quence, les attaquants sont en mesure d\u0027usurper l\u0027identit\u00e9 des\nservices s\u00e9curis\u00e9s pour l\u0027ensemble des domaines et sous-domaines\nconcern\u00e9s.\n\nLe CERT-FR recommande donc fortement d\u0027appliquer les mesures de\npr\u00e9vention suivantes :\n\n1.  renouveler l\u0027ensemble des \u00e9l\u00e9ments secrets stock\u00e9s sur la machine et\n    entreprendre les actions appropri\u00e9es en cons\u00e9quence ;\n\n2.  r\u00e9voquer les certificats potentiellement compromis ;\n\n3.  \u00e9tudier la possibilit\u00e9 de limiter la port\u00e9e des certificats\n    *multi-domaines* pour limiter l\u0027impact d\u0027une future compromission ;\n\n4.  renouveler les certificats sur les serveurs h\u00e9bergeant le logiciel\n    Citrix ainsi que tout autre serveur utilisant les certificats\n    multi-domaines pr\u00e9sents sur les serveurs h\u00e9bergeants le logiciel\n    compromis.\n\nLe CERT-FR recommande \u00e9galement de compl\u00e8tement r\u00e9installer les serveurs\nCitrix avant d\u0027appliquer la mise \u00e0 jour afin de repartir d\u0027une base\nsaine. Pour ce faire, il est aussi conseill\u00e9 d\u0027utiliser\u00a0une sauvegarde\nde la configuration ant\u00e9rieure \u00e0 d\u00e9cembre 2019.\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 27 janvier 2020\\]\u003c/strong\u003e\n\nLes correctifs pour toutes les versions support\u00e9es sont disponibles. Le\nCERT-FR recommande de les installer dans les plus brefs d\u00e9lais.\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 23 janvier 2020\\]\u003c/strong\u003e\n\nLe 22 janvier 2020, Citrix a fourni, en collaboration avec FireEye, un\noutil qui tente de rechercher des possibles exploitations de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2019-19781. Contrairement \u00e0 l\u0027outil fourni le 17\njanvier qui permet de rechercher des machines vuln\u00e9rables sur le r\u00e9seau,\nil doit \u00eatre lanc\u00e9 en local.\n\nFireEye indique que l\u0027outil doit \u00eatre lanc\u00e9 avec les privil\u00e8ges\nadministrateur et ne garantit pas de rep\u00e9rer toutes les compromissions.\n\nL\u0027outil est pr\u00e9sent\u00e9 sur le site de\n[FireEye](https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html)\net est disponible sur\n[GitHub](https://github.com/fireeye/ioc-scanner-CVE-2019-19781/releases/tag/v1.0).\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 20 janvier 2020\\]\u003c/strong\u003e\n\nLe 19 janvier 2020, Citrix a publi\u00e9 les correctifs pour les versions\n12.0.x et 11.1.x.\n\nLa date de disponibilit\u00e9 des correctifs pour les autres versions a\n\u00e9galement \u00e9t\u00e9 avanc\u00e9e au 24 janvier 2020.\n\nConcernant les versions pour lesquelles certaines mesures de\ncontournement ne fonctionnent pas, Citrix a clarifi\u00e9 sa position. Seule\nla version \"*12.1 build 50.28*\" est affect\u00e9e. Il est recommand\u00e9 dans ce\ncas de migrer vers la version \"*12.1 build 50.28/50.31\"* ou une version\nult\u00e9rieure*.*\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 17 janvier 2020\\]\u003c/strong\u003e\n\nLe 16 janvier 2020, Citrix a mis \u00e0 jour son bulletin de s\u00e9curit\u00e9\nconcernant la vuln\u00e9rabilit\u00e9 CVE-2019-19781.\n\n\u003cs\u003eCitrix annonce que la mesure de contournement propos\u00e9e en attendant\nla sortie des correctifs ne fonctionne pas pour les versions 12.1.x\nsuivantes:\u003c/s\u003e\n\n-   \u003cs\u003eCitrix ADC et NetScaler Gateway versions 12.1.51.16 \u00e0\n    12.1.51.19\u003c/s\u003e\n-   \u003cs\u003eCitrix ADC et NetScaler Gateway versions 12.1.50.31\u003c/s\u003e\n\nCitrix recommande de migrer vers une version sur laquelle il est\npossible d\u0027appliquer la mesure de contournement.\n\nCitrix a \u00e9galement annonc\u00e9 que les mod\u00e8les Citrix SD-WAN WANOP 4000,\n4100, 5000 et 5100 sont \u00e9galement affect\u00e9 par la vuln\u00e9rabilit\u00e9\nCVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020\npour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.\n\nEnfin, Citrix a fourni un outil en Python afin de tester si son\n\u00e9quipement est vuln\u00e9rable\n:\u00a0\u003chttps://support.citrix.com/article/CTX269180\u003e\n\nDe mani\u00e8re g\u00e9n\u00e9rale, le CERT-FR recommande d\u0027\u00e9tudier la possibilit\u00e9 de\nd\u00e9connecter les serveurs Citrix concern\u00e9s en attendant la mise \u00e0 jour.\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 13 janvier 2020\\]\u003c/strong\u003e\n\nDes codes d\u0027exploitation ont \u00e9t\u00e9 publi\u00e9s dans la nuit du 10 au 11\njanvier 2020. Leur utilisation a \u00e9t\u00e9 rapport\u00e9e par plusieurs sources\npubliques.\n\nLe 11 janvier 2020, Citrix a publi\u00e9 les dates de disponibilit\u00e9s des\ncorrectifs qui sont les suivantes :\n\n-   le 20 janvier 2020 pour\u00a0Citrix ADC et Citrix Gateway versions 11.1.x\n    et 12.0.x\n-   le \u003cs\u003e27 janvier 2020\u003c/s\u003e 24 janvier 2020 pour\u00a0Citrix ADC et Citrix\n    Gateway versions 12.1.x et 13.0.x\n-   le \u003cs\u003e31 janvier 2020\u003c/s\u003e 24 janvier 2020 pour NetScaler ADC et\n    NetScaler Gateway versions 10.5.x\n\n\u003cstrong\u003e\\[Version Initiale\\]\u003c/strong\u003e\n\nLe CERT-FR a connaissance de campagnes de d\u00e9tection de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2019-19781 affectant les logiciels\u00a0Citrix ADC et\nCitrix Gateway. Une campagne de d\u00e9tection fait partie de la phase de\nreconnaissance qui est pr\u00e9alable \u00e0 la phase d\u0027exploitation.\n\nPour rappel, la vuln\u00e9rabilit\u00e9\u00a0CVE-2019-19781 permet une ex\u00e9cution de\ncode arbitraire \u00e0 distance. Citrix n\u0027a pas encore publi\u00e9 de correctif de\ns\u00e9curit\u00e9 mais a propos\u00e9 des mesures de contournements (cf. section\nDocumentation).\n\nDans l\u0027attente de la publication d\u0027un correctif, le CERT-FR recommande\nfortement l\u0027application des mesures de contournement.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans les produits Citrix ADC et Citrix Gateway",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "[1] Bulletin de s\u00e9curit\u00e9 Citrix CTX267027 du 17 d\u00e9cembre 2019",
      "url": "https://support.citrix.com/article/CTX267027"
    }
  ]
}

CVE-2019-19781 (GCVE-0-2019-19781)

Vulnerability from cvelistv5

Published

2019-12-27 13:06

Modified

2025-10-21 23:35

Severity ?

9.8 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE

Summary

An issue was discovered in Citrix Application Delivery Controller (ADC) and Gateway 10.5, 11.1, 12.0, 12.1, and 13.0. They allow Directory Traversal.

References

URL

Tags

	https://support.citrix.com/article/CTX267027	x_refsource_CONFIRM
	https://www.kb.cert.org/vuls/id/619785	third-party-advisory, x_refsource_CERT-VN
	https://twitter.com/bad_packets/status/1215431625766424576	x_refsource_MISC
	https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/	x_refsource_MISC
	https://forms.gle/eDf3DXZAv96oosfj6	x_refsource_MISC
	http://packetstormsecurity.com/files/155904/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution.html	x_refsource_MISC
	http://packetstormsecurity.com/files/155930/Citrix-Application-Delivery-Controller-Gateway-10.5-Remote-Code-Execution.html	x_refsource_MISC
	http://packetstormsecurity.com/files/155905/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution-Traversal.html	x_refsource_MISC
	http://packetstormsecurity.com/files/155947/Citrix-ADC-NetScaler-Directory-Traversal-Remote-Code-Execution.html	x_refsource_MISC
	http://packetstormsecurity.com/files/155972/Citrix-ADC-Gateway-Path-Traversal.html	x_refsource_MISC

Impacted products

	Vendor	Product	Version
	n/a	n/a	Version: n/a

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-05T02:25:12.672Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_refsource_CONFIRM",
              "x_transferred"
            ],
            "url": "https://support.citrix.com/article/CTX267027"
          },
          {
            "name": "VU#619785",
            "tags": [
              "third-party-advisory",
              "x_refsource_CERT-VN",
              "x_transferred"
            ],
            "url": "https://www.kb.cert.org/vuls/id/619785"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "https://twitter.com/bad_packets/status/1215431625766424576"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "https://forms.gle/eDf3DXZAv96oosfj6"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/155904/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution.html"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/155930/Citrix-Application-Delivery-Controller-Gateway-10.5-Remote-Code-Execution.html"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/155905/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution-Traversal.html"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/155947/Citrix-ADC-NetScaler-Directory-Traversal-Remote-Code-Execution.html"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/155972/Citrix-ADC-Gateway-Path-Traversal.html"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "cvssV3_1": {
              "attackComplexity": "LOW",
              "attackVector": "NETWORK",
              "availabilityImpact": "HIGH",
              "baseScore": 9.8,
              "baseSeverity": "CRITICAL",
              "confidentialityImpact": "HIGH",
              "integrityImpact": "HIGH",
              "privilegesRequired": "NONE",
              "scope": "UNCHANGED",
              "userInteraction": "NONE",
              "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H",
              "version": "3.1"
            }
          },
          {
            "other": {
              "content": {
                "id": "CVE-2019-19781",
                "options": [
                  {
                    "Exploitation": "active"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "total"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2025-02-04T20:02:18.414185Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          },
          {
            "other": {
              "content": {
                "dateAdded": "2021-11-03",
                "reference": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-19781"
              },
              "type": "kev"
            }
          }
        ],
        "problemTypes": [
          {
            "descriptions": [
              {
                "cweId": "CWE-22",
                "description": "CWE-22 Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)",
                "lang": "en",
                "type": "CWE"
              }
            ]
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-10-21T23:35:54.648Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "references": [
          {
            "tags": [
              "government-resource"
            ],
            "url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-19781"
          }
        ],
        "timeline": [
          {
            "lang": "en",
            "time": "2021-11-03T00:00:00+00:00",
            "value": "CVE-2019-19781 added to CISA KEV"
          }
        ],
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in Citrix Application Delivery Controller (ADC) and Gateway 10.5, 11.1, 12.0, 12.1, and 13.0. They allow Directory Traversal."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2020-01-16T18:06:17.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "tags": [
            "x_refsource_CONFIRM"
          ],
          "url": "https://support.citrix.com/article/CTX267027"
        },
        {
          "name": "VU#619785",
          "tags": [
            "third-party-advisory",
            "x_refsource_CERT-VN"
          ],
          "url": "https://www.kb.cert.org/vuls/id/619785"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "https://twitter.com/bad_packets/status/1215431625766424576"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "https://forms.gle/eDf3DXZAv96oosfj6"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "http://packetstormsecurity.com/files/155904/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution.html"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "http://packetstormsecurity.com/files/155930/Citrix-Application-Delivery-Controller-Gateway-10.5-Remote-Code-Execution.html"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "http://packetstormsecurity.com/files/155905/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution-Traversal.html"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "http://packetstormsecurity.com/files/155947/Citrix-ADC-NetScaler-Directory-Traversal-Remote-Code-Execution.html"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "http://packetstormsecurity.com/files/155972/Citrix-ADC-Gateway-Path-Traversal.html"
        }
      ],
      "x_legacyV4Record": {
        "CVE_data_meta": {
          "ASSIGNER": "cve@mitre.org",
          "ID": "CVE-2019-19781",
          "STATE": "PUBLIC"
        },
        "affects": {
          "vendor": {
            "vendor_data": [
              {
                "product": {
                  "product_data": [
                    {
                      "product_name": "n/a",
                      "version": {
                        "version_data": [
                          {
                            "version_value": "n/a"
                          }
                        ]
                      }
                    }
                  ]
                },
                "vendor_name": "n/a"
              }
            ]
          }
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "eng",
              "value": "An issue was discovered in Citrix Application Delivery Controller (ADC) and Gateway 10.5, 11.1, 12.0, 12.1, and 13.0. They allow Directory Traversal."
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "eng",
                  "value": "n/a"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://support.citrix.com/article/CTX267027",
              "refsource": "CONFIRM",
              "url": "https://support.citrix.com/article/CTX267027"
            },
            {
              "name": "VU#619785",
              "refsource": "CERT-VN",
              "url": "https://www.kb.cert.org/vuls/id/619785"
            },
            {
              "name": "https://twitter.com/bad_packets/status/1215431625766424576",
              "refsource": "MISC",
              "url": "https://twitter.com/bad_packets/status/1215431625766424576"
            },
            {
              "name": "https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/",
              "refsource": "MISC",
              "url": "https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/"
            },
            {
              "name": "https://forms.gle/eDf3DXZAv96oosfj6",
              "refsource": "MISC",
              "url": "https://forms.gle/eDf3DXZAv96oosfj6"
            },
            {
              "name": "http://packetstormsecurity.com/files/155904/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution.html",
              "refsource": "MISC",
              "url": "http://packetstormsecurity.com/files/155904/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution.html"
            },
            {
              "name": "http://packetstormsecurity.com/files/155930/Citrix-Application-Delivery-Controller-Gateway-10.5-Remote-Code-Execution.html",
              "refsource": "MISC",
              "url": "http://packetstormsecurity.com/files/155930/Citrix-Application-Delivery-Controller-Gateway-10.5-Remote-Code-Execution.html"
            },
            {
              "name": "http://packetstormsecurity.com/files/155905/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution-Traversal.html",
              "refsource": "MISC",
              "url": "http://packetstormsecurity.com/files/155905/Citrix-Application-Delivery-Controller-Gateway-Remote-Code-Execution-Traversal.html"
            },
            {
              "name": "http://packetstormsecurity.com/files/155947/Citrix-ADC-NetScaler-Directory-Traversal-Remote-Code-Execution.html",
              "refsource": "MISC",
              "url": "http://packetstormsecurity.com/files/155947/Citrix-ADC-NetScaler-Directory-Traversal-Remote-Code-Execution.html"
            },
            {
              "name": "http://packetstormsecurity.com/files/155972/Citrix-ADC-Gateway-Path-Traversal.html",
              "refsource": "MISC",
              "url": "http://packetstormsecurity.com/files/155972/Citrix-ADC-Gateway-Path-Traversal.html"
            }
          ]
        }
      }
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2019-19781",
    "datePublished": "2019-12-27T13:06:46.000Z",
    "dateReserved": "2019-12-13T00:00:00.000Z",
    "dateUpdated": "2025-10-21T23:35:54.648Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CERTFR-2020-ALE-002

Vulnerability from certfr_alerte

Solution

Contournement provisoire

CVE-2019-19781 (GCVE-0-2019-19781)

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature