{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Citrix SD-WAN WANOP versions ant\u00e9rieures \u00e0 10.2.6b et 11.0.3b (Citrix ADC v11.1.51.615)","product":{"name":"N/A","vendor":{"name":"Citrix","scada":false}}},{"description":"Citrix ADC et NetScaler Gateway versions 12.0.x ant\u00e9rieures \u00e0 12.0.63.13","product":{"name":"NetScaler Gateway","vendor":{"name":"Citrix","scada":false}}},{"description":"Citrix NetScaler ADC et NetScaler Gateway versions 10.5.x ant\u00e9rieures \u00e0 10.5.70.12","product":{"name":"N/A","vendor":{"name":"Citrix","scada":false}}},{"description":"Citrix ADC et NetScaler Gateway versions 11.1.x ant\u00e9rieures \u00e0 11.1.63.15","product":{"name":"NetScaler Gateway","vendor":{"name":"Citrix","scada":false}}},{"description":"Citrix ADC et Citrix Gateway versions 13.0.x ant\u00e9rieures \u00e0 13.0.47.24","product":{"name":"N/A","vendor":{"name":"Citrix","scada":false}}},{"description":"Citrix ADC et NetScaler Gateway versions 12.1.x ant\u00e9rieures \u00e0 12.1.55.18","product":{"name":"NetScaler Gateway","vendor":{"name":"Citrix","scada":false}}}],"affected_systems_content":null,"closed_at":"2020-07-31","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\n## Contournement provisoire\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention du\ncontournement (cf. section Documentation).\n","cves":[{"name":"CVE-2019-19781","url":"https://www.cve.org/CVERecord?id=CVE-2019-19781"}],"links":[{"title":"[3] Avis CERT-FR CERTFR-2019-AVI-640 du 18 d\u00e9cembre 2019","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-640/"},{"title":"[2] Descriptif du contournement \u00e0 appliquer en date du 17 d\u00e9cembre 2019","url":"https://support.citrix.com/article/CTX267679"},{"title":"[5] Bulletin CERTFR-2020-ACT-001 du 05 f\u00e9vrier 2020","url":"https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-001/"}],"reference":"CERTFR-2020-ALE-002","revisions":[{"description":"Version initiale","revision_date":"2020-01-09T00:00:00.000000"},{"description":"Ajout des dates de disponibilit\u00e9 des correctifs de s\u00e9curit\u00e9","revision_date":"2020-01-13T00:00:00.000000"},{"description":"Probl\u00e8me de la mesure de contournement sur certaines versions, modification de la liste de produits vuln\u00e9rables et mise \u00e0 disposition d'un outil de test de vuln\u00e9rabilit\u00e9.","revision_date":"2020-01-17T00:00:00.000000"},{"description":"Disponibilit\u00e9 des correctifs pour certaines versions ; la date de sortie des correctifs a \u00e9t\u00e9 avanc\u00e9e pour toutes les versions ; clarification des versions pour lesquelles les mesures de contournement ne fonctionnent pas.","revision_date":"2020-01-20T00:00:00.000000"},{"description":"FireEye met \u00e0 disposition un outil de recherche de compromission.","revision_date":"2020-01-23T00:00:00.000000"},{"description":"Les correctifs sont disponibles.","revision_date":"2020-01-27T00:00:00.000000"},{"description":"Ajout de recommandations suite \u00e0 la compromissions de plusieurs cl\u00e9 priv\u00e9es sur des machines vuln\u00e9rables.","revision_date":"2020-01-31T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2020-05-05T00:00:00.000000"},{"description":"R\u00e9ouverture de l'alerte suite \u00e0 des compromissions de serveurs vuln\u00e9rables. Rappel des mesures \u00e0 prendre.","revision_date":"2020-06-26T00:00:00.000000"},{"description":"La cl\u00f4ture d'une alerte ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2020-07-31T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[Mise \u00e0 jour du 26 juin 2020\\]</strong>\n\nLe CERT-FR a pris connaissance de <strong>compromissions r\u00e9centes</strong> de\nserveurs Citrix dans le cadre d'attaques cibl\u00e9es. Il est rappel\u00e9 que la\nvuln\u00e9rabilit\u00e9 affecte tous les syst\u00e8mes d\u00e9clar\u00e9s ci-dessus, <strong>m\u00eame si la\nfonctionnalit\u00e9 VPN n'est pas activ\u00e9e</strong>.\n\nLe CERT-FR rappelle donc qu'il est <strong>imp\u00e9ratif</strong> de :\n\n-   Proc\u00e9der <u>sans attendre</u> \u00e0 la mise \u00e0 jour de vos serveurs\n    Citrix en respectant la proc\u00e9dure standard de l\u2019\u00e9diteur\u00a0:\n    r\u00e9installation compl\u00e8te des serveurs puis restauration d\u2019une\n    configuration \u00e0 partir d\u2019une sauvegarde ant\u00e9rieure au 10 janvier\n    2020\u00a0;\n-   R\u00e9voquer et renouveler les certificats x509 d\u00e9ploy\u00e9s sur ces\n    serveurs ainsi que sur tous les \u00e9quipements qui les utilisent\n    \u00e9galement (certificats multi-domaines par exemple);\n-   <span style=\"color: #000000;\">Modifier les mots de passe des\n    administrateurs et des utilisateurs qui utilisent le service\n    Citrix\u00a0;</span>\n-   <span style=\"color: #000000;\">Modifier les mots de passe des comptes\n    techniques configur\u00e9s sur l\u2019\u00e9quipement (compte LDAP, compte Radius,\n    compte Active Directory, etc.)\u00a0;</span>\n\nD\u2019autre part, l\u2019exposition sur Internet augmente les opportunit\u00e9s\nd\u2019attaque visant \u00e0 usurper l\u2019identit\u00e9 d\u2019un utilisateur nomade si le\nprocessus d\u2019authentification n\u2019est pas suffisamment robuste. Le CERT-FR\nrecommande donc la mise en \u0153uvre d\u2019une authentification \u00e0 double facteur\nafin de r\u00e9duire ce risque.\n\nEnfin, nous vous recommandons la lecture du bulletin CERTFR-2020-ACT-001\n\\[5\\] sur la s\u00e9curisation des services expos\u00e9s sur Internet.\n\n<strong>\\[Mise \u00e0 jour du 30 janvier 2020\\]</strong>\n\nLe CERT-FR a pris connaissance de la compromission de cl\u00e9s priv\u00e9es sur\ndes serveurs h\u00e9bergeant le logiciel Citrix vuln\u00e9rable. Ces cl\u00e9s priv\u00e9es\nsont pour certaines, associ\u00e9es \u00e0 des certificats multi-domaines\n(*wildcard*).\n\nPar cons\u00e9quence, les attaquants sont en mesure d'usurper l'identit\u00e9 des\nservices s\u00e9curis\u00e9s pour l'ensemble des domaines et sous-domaines\nconcern\u00e9s.\n\nLe CERT-FR recommande donc fortement d'appliquer les mesures de\npr\u00e9vention suivantes :\n\n1.  renouveler l'ensemble des \u00e9l\u00e9ments secrets stock\u00e9s sur la machine et\n    entreprendre les actions appropri\u00e9es en cons\u00e9quence ;\n\n2.  r\u00e9voquer les certificats potentiellement compromis ;\n\n3.  \u00e9tudier la possibilit\u00e9 de limiter la port\u00e9e des certificats\n    *multi-domaines* pour limiter l'impact d'une future compromission ;\n\n4.  renouveler les certificats sur les serveurs h\u00e9bergeant le logiciel\n    Citrix ainsi que tout autre serveur utilisant les certificats\n    multi-domaines pr\u00e9sents sur les serveurs h\u00e9bergeants le logiciel\n    compromis.\n\nLe CERT-FR recommande \u00e9galement de compl\u00e8tement r\u00e9installer les serveurs\nCitrix avant d'appliquer la mise \u00e0 jour afin de repartir d'une base\nsaine. Pour ce faire, il est aussi conseill\u00e9 d'utiliser\u00a0une sauvegarde\nde la configuration ant\u00e9rieure \u00e0 d\u00e9cembre 2019.\n\n<strong>\\[Mise \u00e0 jour du 27 janvier 2020\\]</strong>\n\nLes correctifs pour toutes les versions support\u00e9es sont disponibles. Le\nCERT-FR recommande de les installer dans les plus brefs d\u00e9lais.\n\n<strong>\\[Mise \u00e0 jour du 23 janvier 2020\\]</strong>\n\nLe 22 janvier 2020, Citrix a fourni, en collaboration avec FireEye, un\noutil qui tente de rechercher des possibles exploitations de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2019-19781. Contrairement \u00e0 l'outil fourni le 17\njanvier qui permet de rechercher des machines vuln\u00e9rables sur le r\u00e9seau,\nil doit \u00eatre lanc\u00e9 en local.\n\nFireEye indique que l'outil doit \u00eatre lanc\u00e9 avec les privil\u00e8ges\nadministrateur et ne garantit pas de rep\u00e9rer toutes les compromissions.\n\nL'outil est pr\u00e9sent\u00e9 sur le site de\n[FireEye](https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html)\net est disponible sur\n[GitHub](https://github.com/fireeye/ioc-scanner-CVE-2019-19781/releases/tag/v1.0).\n\n<strong>\\[Mise \u00e0 jour du 20 janvier 2020\\]</strong>\n\nLe 19 janvier 2020, Citrix a publi\u00e9 les correctifs pour les versions\n12.0.x et 11.1.x.\n\nLa date de disponibilit\u00e9 des correctifs pour les autres versions a\n\u00e9galement \u00e9t\u00e9 avanc\u00e9e au 24 janvier 2020.\n\nConcernant les versions pour lesquelles certaines mesures de\ncontournement ne fonctionnent pas, Citrix a clarifi\u00e9 sa position. Seule\nla version \"*12.1 build 50.28*\" est affect\u00e9e. Il est recommand\u00e9 dans ce\ncas de migrer vers la version \"*12.1 build 50.28/50.31\"* ou une version\nult\u00e9rieure*.*\n\n<strong>\\[Mise \u00e0 jour du 17 janvier 2020\\]</strong>\n\nLe 16 janvier 2020, Citrix a mis \u00e0 jour son bulletin de s\u00e9curit\u00e9\nconcernant la vuln\u00e9rabilit\u00e9 CVE-2019-19781.\n\n<s>Citrix annonce que la mesure de contournement propos\u00e9e en attendant\nla sortie des correctifs ne fonctionne pas pour les versions 12.1.x\nsuivantes:</s>\n\n-   <s>Citrix ADC et NetScaler Gateway versions 12.1.51.16 \u00e0\n    12.1.51.19</s>\n-   <s>Citrix ADC et NetScaler Gateway versions 12.1.50.31</s>\n\nCitrix recommande de migrer vers une version sur laquelle il est\npossible d'appliquer la mesure de contournement.\n\nCitrix a \u00e9galement annonc\u00e9 que les mod\u00e8les Citrix SD-WAN WANOP 4000,\n4100, 5000 et 5100 sont \u00e9galement affect\u00e9 par la vuln\u00e9rabilit\u00e9\nCVE-2019-19781. Les correctifs seront disponibles le 27 janvier 2020\npour les versions Citrix SD-WAN WANOP 10.2.6 et 11.03.\n\nEnfin, Citrix a fourni un outil en Python afin de tester si son\n\u00e9quipement est vuln\u00e9rable\n:\u00a0<https://support.citrix.com/article/CTX269180>\n\nDe mani\u00e8re g\u00e9n\u00e9rale, le CERT-FR recommande d'\u00e9tudier la possibilit\u00e9 de\nd\u00e9connecter les serveurs Citrix concern\u00e9s en attendant la mise \u00e0 jour.\n\n<strong>\\[Mise \u00e0 jour du 13 janvier 2020\\]</strong>\n\nDes codes d'exploitation ont \u00e9t\u00e9 publi\u00e9s dans la nuit du 10 au 11\njanvier 2020. Leur utilisation a \u00e9t\u00e9 rapport\u00e9e par plusieurs sources\npubliques.\n\nLe 11 janvier 2020, Citrix a publi\u00e9 les dates de disponibilit\u00e9s des\ncorrectifs qui sont les suivantes :\n\n-   le 20 janvier 2020 pour\u00a0Citrix ADC et Citrix Gateway versions 11.1.x\n    et 12.0.x\n-   le <s>27 janvier 2020</s> 24 janvier 2020 pour\u00a0Citrix ADC et Citrix\n    Gateway versions 12.1.x et 13.0.x\n-   le <s>31 janvier 2020</s> 24 janvier 2020 pour NetScaler ADC et\n    NetScaler Gateway versions 10.5.x\n\n<strong>\\[Version Initiale\\]</strong>\n\nLe CERT-FR a connaissance de campagnes de d\u00e9tection de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2019-19781 affectant les logiciels\u00a0Citrix ADC et\nCitrix Gateway. Une campagne de d\u00e9tection fait partie de la phase de\nreconnaissance qui est pr\u00e9alable \u00e0 la phase d'exploitation.\n\nPour rappel, la vuln\u00e9rabilit\u00e9\u00a0CVE-2019-19781 permet une ex\u00e9cution de\ncode arbitraire \u00e0 distance. Citrix n'a pas encore publi\u00e9 de correctif de\ns\u00e9curit\u00e9 mais a propos\u00e9 des mesures de contournements (cf. section\nDocumentation).\n\nDans l'attente de la publication d'un correctif, le CERT-FR recommande\nfortement l'application des mesures de contournement.\n","title":"Vuln\u00e9rabilit\u00e9 dans les produits Citrix ADC et Citrix Gateway","vendor_advisories":[{"published_at":null,"title":"[1] Bulletin de s\u00e9curit\u00e9 Citrix CTX267027 du 17 d\u00e9cembre 2019","url":"https://support.citrix.com/article/CTX267027"}]}