Citrix a publié des mises à jour de sécurité pour corriger une faille critique de contournement d’authentification dans les produits Application Delivery Controller (ADC) et Gateway qui pourraient être exploités pour prendre le contrôle des systèmes concernés. L’exploitation réussie des problèmes pourrait permettre à un adversaire d’obtenir un accès autorisé, d’effectuer une prise de contrôle à distance du bureau et même de contourner les défenses contre les tentatives de connexion par force brute dans des configurations spécifiques.
CVE-2022-27510 – Accès non autorisé aux capacités utilisateur de la passerelle
CVE-2022-27513 – Prise de contrôle du bureau à distance par hameçonnage
CVE-2022-27516 – Contournement de la fonctionnalité de protection contre la force brute de connexion de l’utilisateur
Les versions prises en charge suivantes de Citrix ADC et Citrix Gateway sont affectées par les failles –
- Citrix ADC and Citrix Gateway 13.1 before 13.1-33.47
- Citrix ADC and Citrix Gateway 13.0 before 13.0-88.12
- Citrix ADC and Citrix Gateway 12.1 before 12.1.65.21
- Citrix ADC 12.1-FIPS before 12.1-55.289
- Citrix ADC 12.1-NDcPP before 12.1-55.289
L’exploitation, cependant, repose sur la condition préalable que les appliances soient soit configurées comme un VPN (passerelle) ou, alternativement, un serveur virtuel d’authentification, d’autorisation et de comptabilité (AAA) dans le cas de CVE-2022-27516. De plus, CVE-2022-27513 et CVE-2022-27516 s’appliquent également uniquement lorsque la fonctionnalité de proxy RDP et la fonctionnalité de verrouillage de l’utilisateur « Max Login Attempts » sont respectivement configurées. La société de technologie de cloud computing et de virtualisation a déclaré qu’aucune action n’est requise de la part des clients s’appuyant sur des services cloud gérés directement par Citrix. Jarosław Jahrek Kamiński, chercheur à la société polonaise de tests d’intrusion Securitum, a été crédité d’avoir découvert et signalé les vulnérabilités. « Il est recommandé aux clients concernés de Citrix ADC et Citrix Gateway d’installer les versions mises à jour pertinentes de Citrix ADC ou Citrix Gateway dès que possible », a déclaré Citrix dans un avis.