-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2020-0003
                                                             JPCERT/CC
                                                      2020-01-17(新規)
                                                      2020-01-27(更新)

                  <<< JPCERT/CC Alert 2020-01-17 >>>

    複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起

           https://www.jpcert.or.jp/at/2020/at200003.html


I. 概要
JPCERT/CC では、Citrix Application Delivery Controller および Citrix Gateway
の脆弱性 (CVE-2019-19781) について、脆弱性に対する実証コードなどの詳細
な情報が公表されていることを確認しています。本脆弱性を悪用された場合、
遠隔の第三者が任意のコードを実行する可能性があります。

本脆弱性について、Bad Packets 社より 2020年1月12日 (現地時間) に、脆弱
性の悪用を狙ったとみられるスキャンを確認したとの情報が公開されました。

    Bad Packets
    Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781
    https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/

JPCERT/CC は、本脆弱性の悪用を目的とすると思われる通信をセンサで観測し
ており、日本国内でも本脆弱性を悪用したと思われる攻撃が既に行われている
ことを確認しています。また、JPCERT/CC では、海外の組織などから届けられ
た情報に基づき、対象の製品を使用しているとみられる組織に通知を行ってい
ます。対象の製品を使用している場合、早急に対策を実施することを推奨しま
す。


II. 対象
本脆弱性の対象となる製品およびバージョンは次のとおりです。

  - Citrix ADC および Citrix Gateway version 13.0
  - Citrix ADC および NetScaler Gateway version 12.1
  - Citrix ADC および NetScaler Gateway version 12.0
  - Citrix ADC および NetScaler Gateway version 11.1
  - Citrix NetScaler ADC および NetScaler Gateway version 10.5
  - Citrix SD-WAN WANOP software および appliance model 4000
  - Citrix SD-WAN WANOP software および appliance model 4100
  - Citrix SD-WAN WANOP software および appliance model 5000
  - Citrix SD-WAN WANOP software および appliance model 5100


III. 侵害有無の確認
本脆弱性の侵害有無を確認する方法は次のとおりです。

(1) 機器に対して不審な IP アドレスからのアクセスがないか確認する
   - 機器に対する HTTP 通信のログは httpaccess.log や httperror.log に
     記録されるとのことです。

(2) 機器のログに脆弱性を悪用する通信が記録されていないか確認する
   - 本脆弱性を悪用する実証コードを実行した場合、以下のような文字列を含
     む通信が機器に対して行われます。

    /vpns/
    /vpn/../vpns/cfg/smb.conf
    /vpn/../vpns/portal/scripts/newbm.pl
    /vpn/../vpns/portal/backdoor.xml
    /vpns/portal/scripts/newbm.pl

(3) 機器の下記ディレクトリ配下のファイルを確認する
   - 最近作成された、心当たりのない xml ファイルが存在する場合、当該ファ
     イルは攻撃者により作成された悪意のあるファイルで、既に当該機器を悪
     用する攻撃が行われた可能性があります。

    /var/tmp/netscaler/portal/templates
    /netscaler/portal/templates

(4) 機器のプロセスや cron job を確認する
  - 機器でコマンドを実行し、「nobody」というユーザにより稼働しているプ
    ロセスや cron job がないか確認する。
  - 本脆弱性が悪用されると、「nobody」というユーザによりプロセスなどが
    実行されるため、こうしたプロセスなどが稼働している場合は既に当該機
    器を悪用する攻撃が行われた可能性があります。

** 更新: 2020年1月24日追記 *****************************************
本脆弱性を悪用した攻撃および侵害有無の確認や、侵害が確認された場合の
調査において、参考となるような情報やツールが Citrix 社や複数の組織か
ら公開されています。

    Citrix
    Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781
    https://www.citrix.com/blogs/2020/01/22/citrix-and-fireeye-mandiant-share-forensic-tool-for-cve-2019-19781/

    Citrix
    Indicator of Compromise Scanner for CVE-2019-19781
    https://github.com/citrix/ioc-scanner-CVE-2019-19781/

    x1sec
    Citrix ADC (NetScaler) CVE-2019-19781 DFIR Notes
    https://github.com/x1sec/CVE-2019-19781/blob/master/CVE-2019-19781-DFIR.md

    InfoSec Handlers Diary Blog
    Citrix ADC Exploits Update
    https://isc.sans.edu/diary/rss/25724
**********************************************************************


IV. 対策
2020年1月17日現在、Citrix 社から修正済みのバージョンは提供されていません。
「V. 緩和策」の実施、または当該製品の使用停止を検討してください。

また Citrix 社によると、下記日程で修正バージョンを提供予定とのことです。

  - 2020年1月19日（米国時間）
    - Citrix ADC および NetScaler Gateway version 12.0
    - Citrix ADC および NetScaler Gateway version 11.1
    
  - 2020年1月24日（米国時間）
    - Citrix NetScaler ADC および NetScaler Gateway version 10.5

** 更新: 2020年1月20日追記 *****************************************
2020年1月19日 (現地時間)、Citrix 社が修正バージョン提供の日程を更新し
たため、内容を更新いたしました。
**********************************************************************

  - 2020年1月22日（米国時間）
    - Citrix SD-WAN WANOP software および appliance model 4000
    - Citrix SD-WAN WANOP software および appliance model 4100
    - Citrix SD-WAN WANOP software および appliance model 5000
    - Citrix SD-WAN WANOP software および appliance model 5100

  - 2020年1月23日（米国時間）
    - Citrix ADC および Citrix Gateway version 13.0
    - Citrix ADC および NetScaler Gateway version 12.1

** 更新: 2020年1月24日追記 *****************************************
2020年1月22日、23日 (現地時間)、Citrix 社が Citrix SD-WAN WANOP
software および appliance、Citrix ADC および Citrix Gateway /
NetScaler Gateway に関する修正バージョン提供の日程を更新したため、
内容を更新いたしました。
**********************************************************************

** 更新: 2020年1月27日追記 *****************************************
2020年1月24日 (現地時間)、Citrix NetScaler ADC および NetScaler Gateway
version 10.5 における修正バージョンが公開され、本脆弱性に対する修正バー
ジョンが全て公開されました。本脆弱性を悪用した攻撃は引き続き観測されて
いるため、速やかに対策の適用と侵害有無の確認を実施することを推奨します。
**********************************************************************


V. 緩和策
次の緩和策の実施を検討してください。

  - ファイアウォール等による不要な通信の制限
  - Citrix 社が公開している設定変更の適用

    Citrix
    Mitigation Steps for CVE-2019-19781
    https://support.citrix.com/article/CTX267679

※Citrix 社の情報によると、Citrix ADC version 12.1 ビルド 51.16,51.19
  および 50.31 より前のビルドには不具合があり、緩和策の設定が適用され
  ないとのことです。緩和策を適切に適用するために、本不具合の影響を受け
  ないビルドに更新することを推奨します。

** 更新: 2020年1月19日追記 *****************************************
2020年1月17日 (現地時間)、Citrix 社は次の通り不具合に関する情報を更新
しました。

Citrix ADC および Citrix Gateway version 12.1 のビルド 50.28 には不具
合があり、緩和策の設定が適用されないとのことです。緩和策を適切に適用す
るために、以下のどちらかの対応を推奨しています。

  - Citrix ADC および Citrix Gateway version 12.1 のビルドを 50.28 / 50.31 より新しいビルドに更新する
  - CTX267679 で公開されている緩和策を管理インターフェースに対して適用する
**********************************************************************


VI. 参考情報
    Citrix
    CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP  appliance
    https://support.citrix.com/article/CTX267027

    Japan Vulnerability Notes JVNVU#92281641
    Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性
    https://jvn.jp/vu/JVNVU92281641/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

________
改訂履歴
2020-01-17 初版
2020-01-19 「V. 緩和策」の修正
2020-01-20 「IV. 対策」の修正
2020-01-24 「III. 侵害有無の確認」「IV. 対策」の追記
2020-01-27 「IV. 対策」の追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ
TEL: 03-6811-0610  MAIL: ew-info@jpcert.or.jp    

-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJeLnwPAAoJEKntH+qu5CT/uAwP/AiOEiHwBYekjFMOaYCkqdJA
XWeMdAbN5lZK3AD4D6+fGJ9veVpEpQnF60Ki9EUHFRvV4hU/BUup2ZvA+cYvSgHK
bVjLJZibaCRXWqxtIk+a7lkHbWUXTA/jd0T/1Di4MiiAvb44bbZLBcw1nCT3gDVx
nG+q+gtJaS2JTrkPvWXNgD1lH9pFKmQKQXDLoJPVP15zpBI0uN2jdNdO1acMzs5B
xW/SBOkUFGS2ts5Wz+EionwJ6bBwpNu/C3R4N0J2yBD+lIGD4rA7kkJX93ZCQvZ+
3x9gJIy4YPFnZOKSrTSZLWlLXPC+QqbWUbR9WjzooV8iyVF+CArgEcU4tfQLoGeV
bPrEDPKhXoha9H1XgBiss6IHBOkRfBtyhOQ3kizbaCAIxmtaFIVHj43kL94sKw6C
lAPTHCzdYiOLoVxRWvyGekRIIYPl/CoQPpsZs1EQDP4qBNeX1s7O+3MJ7tdhHX5Q
Qger/g1GcD5l2KWdfSBlgMrbP00zg/m4sO6i4TFWc8zeLWJcxZ9sJFzQvAV73TzJ
iOhvhY+iEHvqLup+I+3QSkQBHxGTKib86U4sXJFuIWVRVjA+yfmUjIsS6/Wi7ybZ
SdVpnp1EPYTTbMAaA8dYoDxVc0So+no98vkfljeSoWG5/93bH+qebjmMxgQ0EQeI
TZr4g4sn3D61OG/s4F+k
=rD4z
-----END PGP SIGNATURE-----