跳转至

T1190-CVE-2019-19781远程代码执行

来自ATT&CK的描述

使用软件,数据或命令来利用面向Internet的计算机系统或程序中的弱点,从而导致意外或无法预期的行为。系统的弱点可能是错误、故障或设计漏洞。这些应用程序通常是网站,但是可以包括数据库(例如SQL),标准服务(例如SMB 或SSH)以及具有Internet可访问开放的任何其他应用程序,例如Web服务器和相关服务。根据所利用的缺陷,这可能包括“利用防御防卫”。

如果应用程序托管在基于云的基础架构上,则对其进行利用可能会导致基础实际应用受到损害。这可以使攻击者获得访问云API或利用弱身份和访问管理策略的路径。

对于网站和数据库,OWASP排名前10位和CWE排名前25位突出了最常见的基于Web的漏洞。

测试案例

Citrix旗下多款交付控制器和网关存在RCE漏洞,攻击者在无需身份验证的情况下就可执行任意命令。根据其他安全网站的说法,这个RCE漏洞会有一个标记漏洞(其中之一的标记),即本次报道的Citrx路径遍历漏洞(CVE-2019-19781)。Citrx路径遍历漏洞(CVE-2019-19781)利用方式的PoC已被公开。该漏洞利用复杂性低,且无权限要求,攻击者只能遍历vpns文件夹,但攻击者可能利用Citrx路径遍历漏洞进行RCE漏洞试探,从而发起进一步精准攻击。

漏洞影响范围:

Citrix NetScaler ADC and NetScaler Gateway version 10.5

Citrix ADC and NetScaler Gateway version 11.1 , 12.0 , 12.1

Citrix ADC and Citrix Gateway version 13.0

检测日志

HTTP.log

测试复现

漏洞利用过程:

1.pl文件未对NSC_USER参数传入进行过滤

2.触发目录穿越

3.在模板目录的XML文件写入命令

4.模板引擎分析后执行命令

漏洞利用建议参考:

CVE-2019-19781 远程代码执行漏洞复现

https://www.cnblogs.com/panisme/p/12542721.html

Citrix路径遍历(CVE-2019-19781)

https://www.jianshu.com/p/03b175711524

测试留痕

暂无实测,故无留痕

检测规则/思路

Sigma规则

建议使用HTTP流量+安全设备进行检测分析判断攻击是否成功。

title: 检测Citrix CVE-2019-19781漏洞利用行为
references:
    - https://www.jianshu.com/p/03b175711524
    - https://www.jianshu.com/p/03b175711524
status: experimental
logsource:
    category: webserver
detection:
    selection:
        c-uri: 
            - '*/../vpns/*' #根据此次公开的PoC显示,该洞目录遍历被限制子在vpns文件夹下,任意用户可通过HTTP请求直接访问该目录下的文件。
            - '*/vpns/cfg/smb.conf' #根据此次公开的PoC显示,该洞目录遍历被限制子在vpns文件夹下,任意用户可通过HTTP请求直接访问该目录下的文件。
            - '*/vpns/portal/scripts/*.pl*' #利用目录穿越写入命令语句到newbm.pl文件中
    condition: selection
fields:
    - client_ip
    - vhost
    - url
    - response
falsepositives:
    - Unknown
level: critical

建议

暂无

参考推荐

MITRE-ATT&CK-T1190

https://attack.mitre.org/techniques/T1190/