Citrix avertit aujourd’hui ses clients d’une vulnérabilité de gravité critique (CVE-2023-3519) dans NetScaler ADC et NetScaler Gateway qui a déjà des exploits dans la nature, et « demande instamment » d’installer des versions mises à jour sans délai.
Le problème de sécurité peut être le même que celui annoncé plus tôt ce mois-ci sur un forum de pirates en tant que vulnérabilité zero-day.
Correctif obligatoire
Anciennement Citrix ADC et Citrix Gateway, les deux produits NetScaler ont reçu aujourd’hui de nouvelles versions pour atténuer un ensemble de trois vulnérabilités.
Le plus grave d’entre eux a reçu un score de 9,8 sur 10 et il est suivi comme CVE-2023-3519. Un attaquant peut l’exploiter afin d’exécuter du code à distance sans authentification.
Pour que les pirates exploitent le problème de sécurité dans les attaques, l’appliance vulnérable doit être configurée en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou en tant que serveur virtuel d’authentification (appelé serveur AAA).
Dans un bulletin de sécurité publié aujourd’hui, Citrix indique que « des exploits de CVE-2023-3519 sur des appliances non atténuées ont été observés » et conseille vivement à ses clients de passer à une version mise à jour qui résout le problème :
- NetScaler ADC et NetScaler Gateway 13.1-49.13 et versions ultérieures
- NetScaler ADC et NetScaler Gateway 13.0-91.13 et versions ultérieures de 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.159 et versions ultérieures de 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-65.36 et versions ultérieures de 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-65.36 et versions ultérieures de 12.1-NDcPP
La société note que NetScaler ADC et NetScaler Gateway version 12.1 ont atteint la phase de fin de vie et que les clients doivent effectuer une mise à niveau vers une variante plus récente du produit.
Citrix 0day sur le forum des hackers
Au cours de la première semaine de juillet, quelqu’un a annoncé sur un forum de hackers une vulnérabilité zero-day pour Citrix ADC. Les détails sont trop peu nombreux pour le lier définitivement au bulletin de sécurité Citrix aujourd’hui, mais les petits indices disponibles semblent le pointer.
L’auteur du message a déclaré le 6 juillet qu’ils disposaient d’une exécution de code à distance zero-day qui aurait fonctionné pour les versions de Citrix ADC jusqu’à 13.1 build 48.47.
Breachtrace a également reçu un conseil il y a quelque temps selon lequel Citrix avait appris l’existence d’une publicité zero-day sur un forum de cybercriminalité et travaillait sur un correctif avant de divulguer le problème.
Les défenseurs connaissant le problème ont déclaré qu’ils s’attendaient à ce que les exploitations actives se poursuivent jusqu’à ce que Citrix publie un correctif.
Les organisations peuvent commencer à rechercher si elles ont été compromises en recherchant des shells Web plus récents que la dernière date d’installation.
Les journaux d’erreurs HTTP peuvent également révéler des anomalies qui pourraient indiquer une exploitation initiale. Les administrateurs peuvent également vérifier les journaux du shell pour les commandes inhabituelles qui peuvent être utilisées dans la phase de post-exploitation.
XSS et élévation de privilèges
Les mises à jour incluent également des correctifs pour deux autres vulnérabilités identifiées comme CVE-2023-3466 et CVE-2023-3467. Les deux ont un score de gravité élevé de 8,3 et 8, respectivement.
CVE-2023-3466 est un problème de script intersite réfléchi (XSS) qui peut être exploité si une victime charge dans le navigateur un lien d’un attaquant et que l’appliance vulnérable est accessible depuis le même réseau.
Citrix répertorie CVE-2023-3467 comme une vulnérabilité qui permet à un attaquant d’élever les privilèges à ceux d’un administrateur racine (nsroot).
L’exploitation de cette faille nécessite un accès authentifié à l’adresse IP des appliances NetScaler (NSIP) ou à une IP de sous-réseau (SNIP) avec accès à l’interface de gestion.
Au moment de la rédaction de cet article, les détails techniques sur les trois vulnérabilités ne sont pas accessibles au public, mais les organisations disposant d’appliances NetScaler ADC et Gateway doivent donner la priorité à leur mise à jour.