Citrix a averti les clients cette semaine d’atténuer manuellement une vulnérabilité du client PuTTY SSH qui pourrait permettre à des attaquants de voler la clé SSH privée d’un administrateur XenCenter.

XenCenter permet de gérer les environnements Citrix Hypervisor à partir d’un bureau Windows, y compris le déploiement et la surveillance des machines virtuelles.

La faille de sécurité (suivie comme CVE-2024-31497) affecte plusieurs versions de XenCenter pour Citrix Hypervisor 8.2 CU1 LTSR, qui regroupent et utilisent PuTTY pour établir des connexions SSH entre XenCenter et les machines virtuelles invitées lorsque vous cliquez sur le bouton » Ouvrir la console SSH ».

Citrix indique que le composant tiers PuTTY a été supprimé à partir de XenCenter 8.2.6 et que toutes les versions ultérieures à 8.2.7 ne l’incluront plus.

« Un problème a été signalé dans les versions de PuTTY antérieures à la version 0.81; lorsqu’il est utilisé conjointement avec XenCenter, ce problème peut, dans certains scénarios, permettre à un attaquant qui contrôle une machine virtuelle invitée de déterminer la clé privée SSH d’un administrateur XenCenter qui utilise cette clé pour s’authentifier auprès de cette machine virtuelle invitée tout en utilisant une connexion SSH », explique Citrix dans un avis de sécurité publié mercredi.

Trouvé et rapporté par Fabian Bäumer et Marcus Brinkmann de l’Université de la Ruhr à Bochum, CVE-2024-31497 est causé par la façon dont les anciennes versions du client PuTTY SSH basé sur Windows génèrent des nonces ECDSA (numéros cryptographiques uniques temporaires) pour la courbe NIST P-521 utilisée pour l’authentification.

La société a demandé aux administrateurs qui souhaitent atténuer la vulnérabilité de télécharger la dernière version de PuTTY et de l’installer à la place de la version fournie avec les anciennes versions de XenCenter.

« Les clients qui ne souhaitent pas utiliser la fonctionnalité » Ouvrir la console SSH » peuvent supprimer complètement le composant PuTTY », a ajouté Citrix.

« Les clients qui souhaitent conserver l’utilisation existante de PuTTY doivent remplacer la version installée sur leur système XenCenter par une version mise à jour (avec un numéro de version d’au moins 0.81). »

En janvier, CISA a ordonné aux agences fédérales américaines de corriger l’injection de code CVE-2023-6548 et le débordement de tampon CVE-2023-6549 vulnérabilités Citrix Netscaler un jour après que Citrix a averti qu’elles étaient activement exploitées en tant que zero-days.

Une autre faille critique de Netscaler (identifiée sous le nom de CVE-2023-4966 et baptisée Citrix Bleed) a été exploitée comme un jour zéro par plusieurs groupes de piratage pour violer des organisations gouvernementales et des entreprises technologiques de premier plan, telles que Boeing, avant d’être corrigée en octobre.

Le Centre de Coordination de la cybersécurité du secteur de la santé (équipe de cybersécurité du HHS) a également mis en garde les organisations de santé dans une alerte sectorielle pour sécuriser les instances NetScaler ADC et NetScaler Gateway contre la montée des attaques de ransomware.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *