Des milliers de serveurs Citrix Netscaler ADC et Gateway exposés en ligne sont probablement vulnérables à un bogue critique d’exécution de code à distance (RCE) exploité par des attaquants non authentifiés dans la nature comme un jour zéro.
Les chercheurs en sécurité de la Shadowserver Foundation, une organisation à but non lucratif dédiée à l’amélioration de la sécurité Internet, ont révélé cette semaine qu’au moins 15 000 appliances ont été identifiées comme exposées à des attaques exploitant la faille (CVE-2023-3519) sur la base de leurs informations de version.
« Nous marquons toutes les adresses IP où nous voyons un hachage de version dans une instance Citrix. Cela est dû au fait que Citrix a supprimé les informations de hachage de version dans les révisions récentes », a déclaré Shadowserver.
« Ainsi, il est prudent de supposer, à notre avis, que toutes les instances qui fournissent encore des hachages de version n’ont pas été mises à jour et peuvent être vulnérables. »
Ils ont également noté qu’ils sous-estiment également puisque certaines révisions connues pour être vulnérables mais sans hachage de version n’ont pas été étiquetées et ajoutées au nombre total de serveurs Citrix exposés.
Citrix a publié des mises à jour de sécurité pour résoudre cette vulnérabilité RCE le 18 juillet, indiquant que « des exploits de CVE-2023-3519 sur des appliances non atténuées ont été observés » et exhortant les clients à installer les correctifs dès que possible.
La société a ajouté que les appliances Netscaler non corrigées doivent être configurées comme une passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou un serveur virtuel d’authentification (appelé serveur AAA) pour être vulnérables aux attaques.
Le zero-day CVE-2023-3519 RCE était probablement disponible en ligne depuis la première semaine de juillet, lorsqu’un acteur malveillant a commencé à annoncer la faille zero-day de Citrix ADC sur un forum de pirates.
Breachtrace savait également que Citrix avait pris connaissance de la publicité zero-day et travaillait sur un correctif avant de faire une divulgation officielle.
Le même jour, Citrix a corrigé deux autres vulnérabilités très graves identifiées comme CVE-2023-3466 et CVE-2023-3467.
Le premier permet aux attaquants de lancer des attaques par script intersite réfléchi (XSS) en incitant les cibles sur les mêmes réseaux à charger un lien malveillant dans le navigateur Web, tandis que le second permet d’élever les privilèges pour obtenir les autorisations root.
Bien que la seconde soit beaucoup plus impactante, elle nécessite également un accès authentifié à l’interface de gestion des appliances vulnérables via leur adresse IP (NSIP) ou une adresse IP SubNet (SNIP).
La CISA a également ordonné mercredi aux agences fédérales américaines de sécuriser les serveurs Citrix sur leurs réseaux contre les attaques en cours d’ici le 9 août, avertissant que le bogue était déjà utilisé pour violer les systèmes d’une organisation d’infrastructure critique américaine.
« En juin 2023, les acteurs de la menace ont exploité cette vulnérabilité comme un jour zéro pour déposer un shell Web sur l’appliance NetScaler ADC d’une organisation d’infrastructure critique », a déclaré la CISA dans un avis séparé publié jeudi.
« Le webshell a permis aux acteurs d’effectuer une découverte sur le répertoire actif (AD) de la victime et de collecter et d’exfiltrer les données AD. Les acteurs ont tenté de se déplacer latéralement vers un contrôleur de domaine, mais les contrôles de segmentation du réseau pour l’appliance ont bloqué le mouvement. »