Citrix a exhorté mardi ses clients à corriger immédiatement les appliances Netscaler ADC et Gateway exposées en ligne contre deux vulnérabilités zero-day activement exploitées.

Les deux jours zéro (suivis comme CVE-2023-6548 et CVE-2023-6549) ont un impact sur l’interface de gestion Netscaler et exposent les instances Netscaler non corrigées à l’exécution de code à distance et aux attaques par déni de service, respectivement.

Cependant, pour obtenir l’exécution de code, les attaquants doivent être connectés à des comptes à faibles privilèges sur l’instance ciblée et avoir besoin d’accéder à NSIP, CLIP ou SNIP avec un accès à l’interface de gestion.

En outre, les appliances doivent être configurées en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou serveur virtuel AAA pour être vulnérables aux attaques DoS.

La société affirme que seules les appliances NetScaler gérées par le client sont affectées par les jours zéro, tandis que les services Cloud gérés par Citrix ou l’authentification adaptative gérée par Citrix ne sont pas affectés.

La liste des versions de produits Netscaler affectées par ces deux vulnérabilités zero-day comprend les éléments suivants:

  • NetScaler ADC et NetScaler Gateway 14.1 avant la version 14.1-12.35
  • NetScaler ADC et NetScaler Gateway 13.1 avant la version 13.1-51.15
  • NetScaler ADC et NetScaler Gateway 13.0 avant la version 13.0-92.21
  • NetScaler ADC 13.1-FIPS avant les versions 13.1 à 37.176
  • NetScaler ADC 12.1-FIPS avant les versions 12.1 à 55.302
  • NetScaler ADC 12.1-NDcPP avant les versions 12.1 à 55.302

Selon les données fournies par la plateforme de surveillance des menaces Shadowserver, un peu plus de 1 500 interfaces de gestion Netscaler sont désormais exposées sur Internet.

Interfaces de gestion Netscaler exposées en ligne

​Dans un avis de sécurité publié aujourd’hui, Citrix a exhorté tous les administrateurs à patcher immédiatement leurs appliances Netscaler contre les deux jours zéro pour bloquer les attaques potentielles.

« Des exploits de ces CVE sur des appareils non atténués ont été observés », a averti la société. « Cloud Software Group exhorte vivement les clients concernés de NetScaler ADC et NetScaler Gateway à installer les versions mises à jour pertinentes dès que possible. »

Il a également été conseillé à ceux qui utilisaient encore le logiciel de fin de vie NetScaler ADC et NetScaler Gateway version 12.1 de les mettre à niveau vers une version encore prise en charge.

Les administrateurs qui ne peuvent pas déployer immédiatement les mises à jour de sécurité d’aujourd’hui doivent bloquer le trafic réseau vers les instances affectées et s’assurer qu’ils ne sont pas exposés en ligne.

« Cloud Software Group recommande fortement que le trafic réseau vers l’interface de gestion de l’appliance soit séparé, physiquement ou logiquement, du trafic réseau normal », a déclaré Citrix.

« De plus, nous vous recommandons de ne pas exposer l’interface de gestion à Internet, comme expliqué dans le guide de déploiement sécurisé. La suppression d’une telle exposition à Internet réduit considérablement le risque d’exploitation de ce problème. »

Une autre faille critique de Netscaler corrigée en octobre et identifiée sous le nom de CVE-2023-4966 (plus tard baptisée Citrix Bleed) a également été exploitée comme un jour zéro depuis août par divers groupes de menaces pour pirater les réseaux d’organisations gouvernementales et d’entreprises technologiques de premier plan dans le monde entier, comme Boeing.

L’équipe de sécurité de HHS, le Health Sector Cybersecurity Coordination Center (HC3), a également émis une alerte sectorielle exhortant les organisations de santé à sécuriser leurs instances NetScaler ADC et NetScaler Gateway contre la montée des attaques de ransomware.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *