Citrix NetScaler ADC et NetScaler Gateway sont impactés par une faille de gravité critique qui permet la divulgation d’informations sensibles provenant d’appliances vulnérables.
La faille est identifiée comme CVE-2023-4966 et a reçu une note CVSS de 9,4, étant exploitable à distance sans nécessiter de privilèges élevés, d’interaction de l’utilisateur ou une complexité élevée.
Cependant, il faut que l’appliance soit configurée en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou serveur virtuel AAA pour qu’elle soit vulnérable aux attaques.
Bien que l’exploitation de la faille puisse conduire à une « divulgation d’informations sensibles », le fournisseur n’a fourni aucun détail sur les informations exposées.
Une deuxième vulnérabilité divulguée dans le même bulletin est CVE-2023-4967, une faille de haute gravité (score CVSS : 8,2) comportant les mêmes prérequis, qui peut potentiellement provoquer un déni de service (DoS) sur les appareils vulnérables.
Les versions concernées des produits Citrix sont :
- NetScaler ADC et NetScaler Gateway 14.1 avant 14.1-8.50
- NetScaler ADC et NetScaler Gateway 13.1 avant 13.1-49.15
- NetScaler ADC et NetScaler Gateway 13.0 avant 13.0-92.19
- NetScaler ADC 13.1-FIPS avant 13.1-37.164
- NetScaler ADC 12.1-FIPS avant 12.1-55.300
- NetScaler ADC 12.1-NDcPP avant 12.1-55.300
L’action recommandée consiste à passer à une version corrigée qui implémente des mises à jour de sécurité corrigeant les deux failles. Citrix n’a fourni aucun conseil d’atténuation ni solution de contournement cette fois-ci.
« Cloud Software Group exhorte fortement les clients concernés de NetScaler ADC et NetScaler Gateway à installer les versions mises à jour pertinentes de NetScaler ADC et NetScaler Gateway dès que possible », lit-on dans le bulletin de sécurité de Citrix.
Les versions cibles vers lesquelles effectuer la mise à niveau sont :
- NetScaler ADC et NetScaler Gateway 14.1-8.50 et versions ultérieures
- NetScaler ADC et NetScaler Gateway 13.1-49.15 et versions ultérieures de 13.1
- NetScaler ADC et NetScaler Gateway 13.0-92.19 et versions ultérieures de 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.164 et versions ultérieures de 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.300 et versions ultérieures de 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.300 et versions ultérieures de 12.1-NDcPP
Il est à noter que la version 12.1 a atteint sa date de fin de vie (EOL) et ne sera plus supportée par Citrix. Par conséquent, il est recommandé aux utilisateurs de passer à une version plus récente et activement prise en charge.
Les failles de gravité critique des produits Citrix sont très recherchées par les pirates informatiques, car les grandes organisations possédant des actifs précieux utilisent ces appareils.
Un exemple récent d’une telle exploitation est CVE-2023-3519, une faille critique d’exécution de code à distance que Citrix a corrigée comme étant un jour zéro en juillet 2023.
Cette faille est actuellement activement exploitée par de nombreux cybercriminels qui exploitent les exploits disponibles pour implanter des portes dérobées et voler des informations d’identification.