Nick Security Blog

securityブログです

Citrix CVE-2019-19781 検証

※勉強目的のみ。悪用厳禁。

修正前

調査

/vpns/」ディレクトリには閲覧権限が無い。
f:id:NickShadows:20200329191442p:plain


「/vpns/」下のファイルを指定すると閲覧可能。
f:id:NickShadows:20200329191519p:plain

特定のヘッダを追加するとレイアウトが変わる。
f:id:NickShadows:20200329191552p:plain

RCE実行

アップロード(一部非公開)
f:id:NickShadows:20200329191749p:plain

実行
f:id:NickShadows:20200329191819p:plain

RCE時に認証がいらない

ログイン時にCookie「SESSID」を発行。
f:id:NickShadows:20200329191903p:plain


Cookieが無いとログイン画面に戻される。
f:id:NickShadows:20200329191928p:plain


Cookieがなくともアップロード可能。
f:id:NickShadows:20200329192035p:plain


Cookieがなくとも実行可能。
f:id:NickShadows:20200329192059p:plain

修正後

「/vpns/」アクセス時の挙動が異なる。
f:id:NickShadows:20200329192135p:plain

「/vpns/」下のファイルも見れない。
f:id:NickShadows:20200329192200p:plain

対策

バージョンアップ。

感想

初めて検証したRCEのCVE。
認証なしで難易度も低い、驚いたCVE。

参考

公式
CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance