> [!danger] CVSS 9.8 - Crítico > Directory traversal no Citrix ADC/Gateway permite execução remota de código não autenticada via arquivo XML malicioso + Perl Templating Toolkit. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2021-11-03. Exploração massiva documentada em 2020 por múltiplos grupos APT (China, Irã, Rússia). > [!warning] Mitigação Temporária com Bug > Algumas builds do ADC 12.1 tinham bug que tornava a mitigação ineficaz. Verificar e aplicar patch completo. # CVE-2019-19781 - Citrix ADC/Gateway Directory Traversal RCE > CVSS: 9.8 · EPSS: 97% · Vendor: Citrix · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2019-19781** é uma vulnerabilidade crítica de **path traversal** no **Citrix Application Delivery Controller (ADC)**, Citrix Gateway e Citrix SD-WAN WANOP, divulgada em 17 de dezembro de 2019. A falha permite que atacantes remotos não autenticados utilizem traversal de diretório para ler arquivos sensíveis de configuração e, através da combinação com o **Perl Templating Toolkit**, executar código arbitrário no dispositivo. A vulnerabilidade afetou **todas as versões suportadas** do Citrix ADC e Gateway entre 10.5 e 13.0. A Unit 42 (Palo Alto Networks) identificou exploração ativa na natureza já em janeiro de 2020. Com mais de **57.000 instâncias expostas na internet**, a exploração foi massiva - envolvendo grupos APT de China, Irã e Rússia, além de criminosos oportunistas. O patch oficial foi lançado apenas em 19 de janeiro de 2020 - mais de um mês após a divulgação inicial. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **97%** de probabilidade de exploração - CISA KEV: adicionado em 2021-11-03 - Mais de 57.000 instâncias expostas na internet no momento da divulgação ## Detalhes Técnicos A exploração ocorre em dois estágios: **Estágio 1 - Path Traversal:** ``` GET /vpn/../vpns/cfg/smb.conf HTTP/1.1 ``` O servidor Apache no Citrix ADC não sanitiza paths com `/../`, permitindo acesso a arquivos fora do diretório raiz do VPN. **Estágio 2 - Remote Code Execution:** 1. Via requisição POST, o atacante cria um arquivo XML malicioso em diretório acessível pelo servidor web 2. O arquivo XML contém código Perl Template Toolkit embutido 3. Requisição GET subsequente ao arquivo criado aciona a execução do código Perl 4. O template engine executa comandos arbitrários no servidor **Arquivo sensível primário:** `/vpn/../vpns/services.html` - confirma a vulnerabilidade sem autenticação ## Exploração **Status atual:** Exploração massiva histórica. Dispositivos sem patch ainda vulneráveis. **Grupos de ameaça utilizando:** - [[g0096-apt41]] - grupo chinês - explorou para acesso inicial em organizações de tecnologia e governo - [[g0069-mango-sandstorm]] - iraniano - explorou em campanhas regionais contra Oriente Médio e Europa - [[g1023-apt5]] - China-nexus - a NSA atribuiu exploração histórica de appliances Citrix a este grupo **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do ADC/Gateway exposto - [[t1505-003-web-shell|T1505.003 - Web Shell]] - criação de arquivo malicioso como webshell - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - traversal para leitura de configuração **Mitigação temporária com bug:** A Citrix lançou mitigação temporária via responder policy antes do patch. No entanto, builds do ADC 12.1 antes de 51.16/51.19 e 50.31 tinham bug que tornava a mitigação ineficaz - exigindo atualização de build E aplicação da mitigação. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan de Citrix ADC/Gateway<br/>57.000+ instâncias expostas"] --> B["💥 Path Traversal<br/>GET /vpn/../vpns/cfg/smb.conf<br/>leitura de arquivos sensíveis"] B --> C["🔑 Criação de Arquivo XML<br/>POST com payload Perl<br/>Template Toolkit embutido"] C --> D["🛡️ Execução de Código<br/>GET ao arquivo XML<br/>aciona template engine Perl"] D --> E["🔗 Persistência<br/>Webshell e backdoor<br/>no appliance Citrix"] E --> F["📤 Acesso à Rede<br/>Pivô para rede interna<br/>via VPN comprometida"] ``` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O Citrix ADC e Gateway são soluções de infraestrutura crítica amplamente adotadas no Brasil por grandes corporações, bancos, operadoras de telecomúnicações e órgãos governamentais para prover acesso remoto VPN, balanceamento de carga e entrega de aplicações. Com mais de 57.000 instâncias globalmente expostas no momento da divulgação, estima-se que milhares estavam localizadas na América Latina. > > A exploração por múltiplos grupos APT (China, Irã, Rússia) torna esta CVE uma das mais perigosas já descobertas para organizações brasileiras. O intervalo de mais de 30 dias entre a divulgação (dezembro 2019) e o patch (janeiro 2020) deixou organizações expostas durante o período de festas de fim de ano, quando equipes de segurança operam com capacidade reduzida - cenário que se agravou na América Latina. > > Organizações brasileiras nos setores financeiro, governo e saúde que utilizam Citrix ADC/Gateway devem verificar se migraram para versões corrigidas e realizar auditoria forense retroativa, dado que o comprometimento pode ter ocorrido durante a janela de exposição sem detecção. A técnica de comprometimento de VPN corporativa é particularmente impactante no contexto do trabalho remoto pós-pandemia. ## Mitigação **Patch oficial:** - Patches lançados em 19/01/2020 para todas as versões afetadas - Advisory Citrix: CTX267027 - Mitigação temporária: CTX267679 (responder policy - verificar bug nas builds 12.1) **Ações recomendadas:** 1. Aplicar patches de janeiro de 2020 imediatamente 2. Verificar se mitigação temporária estava corretamente aplicada (builds 12.1 < 51.16 têm bug) 3. Auditar logs por requisições com `/../` nos paths 4. Verificar criação de arquivos suspeitos nos diretórios VPN 5. Rotacionar credenciais de usuários VPN que possam ter sido expostas ## Notas Relacionadas **CVEs relacionados:** [[cve-2023-3519|CVE-2023-3519]] · [[cve-2023-4966|CVE-2023-4966]] · [[cve-2023-3467|CVE-2023-3467]] · [[cve-2020-14882|CVE-2020-14882]] **Atores explorando:** [[g0096-apt41]] · [[g0069-mango-sandstorm]] · [[g1023-apt5]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores em risco:** [[government|governo]] · [[financial|financeiro]] · [[technology|tecnologia]] · [[healthcare|saúde]] · [[telecommunications|telecomúnicações]] ## Referências - [NVD - CVE-2019-19781](https://nvd.nist.gov/vuln/detail/CVE-2019-19781) - [Citrix Security Bulletin CTX267027](https://support.citrix.com/article/CTX267027) - [Unit 42 - Exploits in the Wild](https://unit42.paloaltonetworks.com/exploits-in-the-wild-for-citrix-adc-and-citrix-gateway-directory-traversal-vulnerability-CVE-2019-19781/) - [Rapid7 - Active Exploitation](https://www.rapid7.com/blog/post/2020/01/17/active-exploitation-of-citrix-netscaler-CVE-2019-19781-what-you-need-to-know/) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)