Le gouvernement américain avertit que des acteurs malveillants ont piraté le réseau d’une organisation américaine dans le secteur des infrastructures critiques après avoir exploité une vulnérabilité RCE zero-day actuellement identifiée comme CVE-2023-3519, un problème de gravité critique dans NetScaler ADC et Gateway que Citrix a corrigé cette semaine.
La Cybersecurity and Infrastructure Security Agency (CISA) affirme que l’attaque s’est produite en juin et que les pirates ont utilisé leur accès pour voler des données Active Directory.
Les pirates ont exfiltré les données AD
Dans un avis publié cette semaine, la CISA avertit que les pirates ont exploité la faille d’exécution de code à distance (RCE) non authentifiée pour implanter un shell Web sur l’appliance NetScaler Application Delivery Controller (ADC) hors production de la cible.
La porte dérobée a permis à l’attaquant d’énumérer les objets Active Directory (AD), qui incluent des utilisateurs, des groupes, des applications et des appareils sur le réseau, ainsi que de voler des données AD.
Étant donné que l’appliance NetScaler ADC ciblée se trouvait dans un environnement séparé sur le réseau, les pirates n’ont pas pu se déplacer latéralement vers un contrôleur de domaine, explique CISA.
CISA a publié un avis avec des tactiques, des techniques et des procédures (TTP) ainsi que des méthodes de détection pour aider les organisations, en particulier celles du segment des infrastructures critiques, à déterminer si leurs systèmes ont été compromis.
Au cours de la phase d’exploitation initiale, les pirates ont téléchargé sur l’appliance vulnérable une archive TGZ avec un webshell générique, un script de découverte et un binaire setuid.
Ils ont effectué une analyse SMB sur le sous-réseau et utilisé le webshell pour vérifier et exfiltrer l’inventaire Active Directory, avec un intérêt particulier pour :
- Fichiers de configuration NetScaler contenant un mot de passe chiffré dont la clé se trouve sur l’appliance ADC
- Clés de déchiffrement NetScaler, qui peuvent déverrouiller le mot de passe AD dans le fichier de configuration
- La liste des utilisateurs, systèmes, groupes, sous-réseaux, unités organisationnelles, contacts, partitions et approbations dans Active Directoryv
L’attaquant a chiffré les données de découverte à l’aide de la bibliothèque OpenSSL et les a préparées pour l’exfiltration vers un emplacement accessible sur le Web sous forme compressée sous forme d’archive déguisée en image PNG.
Il semble que les pirates aient tenté de brouiller les pistes en supprimant le fichier d’autorisation, ce qui empêcherait les administrateurs de se connecter à distance. Pour retrouver l’accès, un redémarrage en mode mono-utilisateur est nécessaire, ce qui peut avoir supprimé des artefacts.
Les acteurs de la menace exploitant la vulnérabilité puisqu’il s’agissait d’un jour zéro, les administrateurs NetScaler doivent installer sans délai les dernières mises à jour publiées par Citrix pour résoudre le problème.
Des milliers de serveurs vulnérables exposés
Une première évaluation de la Shadowserver Foundation, une organisation à but non lucratif visant à rendre Internet plus sûr, a révélé que CVE-2023-3519 affectait probablement plus de 11 000 serveurs NetScaler ADC et Gateway exposés en ligne.
Ce nombre est passé à 15 000, a déclaré l’organisation à Breachtrace aujourd’hui, après avoir affiné sa requête pour marquer comme vulnérables toutes les appliances NetScaler qui ont renvoyé un en-tête « dernière modification » avec une date antérieure au 1er juillet.
Le nouveau décompte est également dû à l’amélioration de la couverture de détection des machines NetScaler AAA (serveur virtuel d’authentification). Bien qu’il ait augmenté, ce nombre représente probablement une estimation prudente, selon l’organisation.
CISA a également publié un ensemble de commandes que les organisations peuvent utiliser pour vérifier les signes de compromission en exploitant CVE-2023-3519.
Empilement de commandes menant à la racine
Citrix a corrigé CVE-2023-3519 le 18 juillet ainsi que deux vulnérabilités moins graves. L’un est un bogue de script intersite réfléchi (XSS) avec un score de gravité de 8,3 et suivi comme CVE-2023-3466.
L’exploitation de cette faille est possible si la victime sur le même réseau que l’appliance vulnérable charge dans le navigateur un lien malveillant d’un attaquant.
L’autre est une élévation de privilèges vers root identifiée comme CVE-2023-3467. Il a reçu un score de gravité de 8,0 et peut être exploité par un attaquant ayant le rôle le moins privilégié sur l’interface de ligne de commande (CLI) NetScaler.
Jorren Geurts et Wouter Rijkborst, chercheurs de la société de cybersécurité Resillion, ont publié une analyse technique détaillée de la vulnérabilité, expliquant comment l’empilement de commandes spécifiques dans la CLI NetScaler permet à tout utilisateur disposant d’autorisations en lecture seule d’obtenir des privilèges root sur le système.
Les chercheurs ont déclaré à Breachtrace qu’un utilisateur à faibles privilèges pouvait également obtenir l’autorisation root sur l’appliance en utilisant les mêmes commandes dans l’interface de gestion Web. Cependant, Rijkborst a déclaré que cette méthode est moins stable.
Il n’y a actuellement aucune information sur ces vulnérabilités moins graves exploitées dans la nature, mais les acteurs de la menace qui ont déjà accès au réseau pourraient les exploiter pour augmenter leur accès au réseau.
Récemment, The Estée Lauder Companies a été violée deux fois lors d’attaques distinctes de Clop, via la vulnérabilité zero-day MOVEit, et des gangs de rançongiciels ALPHV/BlackCat.
On ne sait toujours pas comment ALPH/BlackCat a obtenu l’accès initial, mais le gang s’est vanté que deux semaines après que la société a engagé les services Microsoft DART et Mandiant pour faire face au premier incident, ils étaient toujours sur le réseau.
Les acteurs de la menace, en particulier les groupes avancés, ne se précipitent pas toujours pour se déplacer latéralement sur le réseau victime et parfois ils attendent silencieusement pour trouver une méthode moins bruyante et qui augmente le succès de l’attaque.