Jakarta (PARADE.ID)- Citrix mengungkapkan sejumlah kerentanan (bug) dalam Pengontrol Pengiriman Aplikasi (Application Delivery Controller/ADC) dan Gateway yang memungkinkan serangan injeksi kode dan pengungkapan informasi (pelanggaran data) hingga penolakan layanan. Dari 11 bug, empat bug dapat dieksploitasi oleh penyerang jarak jauh yang tidak diautentikasi.
Produk Citrix (sebelumnya dikenal sebagai NetScaler ADC dan Gateway) masing-masing digunakan untuk manajemen lalu lintas aplikasi dan akses jarak jauh yang aman. Menurut rilis Positive Technologies yang diterbitkan Desember 2019, produk Citrix ini telah dipasang di 80.000 perusahaan di 158 negara.
Bug yang diumumkan Selasa (7 Juli 2020) diantaranya mempengaruhi peralatan Citrix SD-WAN WANOP, model 4000-WO, 4100-WO, 5000-WO dan 5100-WO.
Serangan terhadap antarmuka manajemen (management interface) terhadap produk dapat mengakibatkan peretasan sistem oleh pengguna yang tidak diotentikasi di dalam jaringan manajemen, atau bisa juga sistem diretas melalui serangan cross-site scripting (XSS).
Penyerang juga dapat membuat tautan unduhan untuk perangkat yang – jika diunduh dan dieksekusi oleh pengguna yang tidak diautentikasi pada jaringan manajemen – dapat mengakibatkan peretasan komputer lokal.
“Pelanggan yang telah mengkonfigurasi sistemnya sesuai dengan rekomendasi Citrix (yaitu, memisahkan antarmuka ini dari jaringan dan dilindungi oleh firewall) telah mengurangi risiko secara signifikan dari serangan ke antarmuka manajemen,” demikian keterangan Citrix dilansir ThreatPost, Selasa (7 Juli 2020).
Penjahat cyber juga bisa meningkatkan serangan pada IP Virtual (VIP) yang antara lain digunakan untuk memberikan pengguna dengan alamat IP unik untuk berkomunikasi dengan sumber daya jaringan. Serangan VIP termasuk penolakan layanan terhadap server virtual Gateway atau Otentikasi oleh pengguna yang tidak diauthentikasi.
“Penyerang hanya dapat membedakan apakah koneksi TLS (Transport Layer Security) mungkin dengan port dan tidak dapat berkomunikasi lebih lanjut dengan perangkat akhir.”
“Pelanggan yang belum mengaktifkan server virtual Gateway atau Otentikasi tidak berisiko dari serangan yang berlaku untuk server tersebut. Server virtual lainnya, misalnya load balancing dan pengalihan konten server virtual tidak terpengaruh oleh masalah ini.”
Kerentanan terakhir ditemukan di Citrix Gateway Plug-in untuk Linux yang memungkinkan pengguna log-on lokal dari sistem Linux dengan plug-in yang diinstal untuk meningkatkan hak istimewa mereka ke akun administrator. Dari 11 kerentanan, ada enam kemungkinan rute serangan; tetapi lima di antaranya memiliki hambatan eksploitasi. Termasuk pentingnya tambalan (patch) terbaru yang bakal menyelesaikan semua masalah.
Karena Citrix terutama digunakan untuk memberikan akses jarak jauh ke aplikasi di jaringan internal perusahaan, maka kondisi ini dapat dengan mudah digunakan sebagai pijakan untuk bergerak secara lateral di organisasi korban.
CISO Citrix, Fermin Serna, mengatakan tidak mengetahui adanya eksploitasi aktif dari masalah sejauh ini, dan ia menekankan bahwa sebenarnya hambatan untuk mengeksploitasi kelemahan ini cukup signifikan.
“Ada banyak hambatan untuk serangan ini. Khususnya untuk pelanggan di mana tidak ada lalu lintas yang tidak dapat dipercaya di jaringan manajemen, risiko yang tersisa berkurang menjadi serangan penolakan layanan,” tulisnya.
“Dan dalam hal itu, hanya ketika Gateway atau otentikasi server virtual digunakan. Server virtual lainnya, misalnya, load balancing dan switching server virtual konten tidak terpengaruh sama sekali.”
Serna juga mencatat bahwa bug tidak terkait dengan bug kritis CVE-2019-19781 di Citrix ADC dan Gateway, diumumkan pada bulan Desember. Cacat zero-day itu tetap tidak tertandingi selama hampir sebulan dan serangan di alam liar terjadi.
(cyberthreat/PARADE.ID)
