Tres semanas después se hace público una PoC para Citrix, que sigue sin actualización.

El 25 de Diciembre avisamos a través de Unaaldía de una vulnerabilidad en los sistemas Citrix que podría permitir a un atacante remoto hacerse con el control del sistema. A día de hoy este fallo no cuenta con actualización y se ha hecho público una PoC fácilmente reproducible cómo exploit para su explotación.

Esta situación es de extrema gravedad debido a que más de 25.000 servidores en todo el mundo tienen instalado Citrix Application Delivery Controller (ADC) o Citrix Gateway, por lo que los hace vulnerables.

El exploit es una PoC (prueba de concepto) que consta de dos llamadas a curl: uno para escribir un archivo de plantilla que incluiría el comando de shell del usuario y la segunda solicitud para descargar el resultado de la ejecución del comando.

La vulnerabilidad que permite a un atacante remoto no autenticado ejecute código arbitrario en el sistema, tiene asociado el identificador CVE-2019-19781 con una métrica de impacto Base de 10, debido a la escasa complejidad de explotación.

Citrix por su lado ha publicado una guía para mitigar la vulnerabilidad ya que hasta finales de enero no tendrá lista una actualización de seguridad.

Más información:

PoC
https://0day.life/exploit/0day-1935.html

Guía de CIitrix
https://support.citrix.com/article/CTX267679

Información del CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781