[MàJ] Vulnérabilité dans Citrix ADC et Gateway (13 décembre 2022)

Résumé

Le 13 décembre 2022, Citrix a indiqué avoir connaissance d'une vulnérabilité de type jour-zéro (zero-day) affectant les produits Citrix ADC et Citrix Gateway. Cette vulnérabilité, immatriculée CVE-2022-27518, permet à un attaquant à distance et non authentifié d'exécuter du code arbitraire sur l'équipement.

L'exploitation de la vulnérabilité est uniquement possible si le produit Citrix est configuré en mode IdP SAML ou SP SAML. Il est possible de vérifier la configuration en inspectant le fichier ns.conf. Si les lignes add authentication samlAction ou add authentication samlIdPProfile sont présentes et que le produit est dans une version affectée, alors il doit être considéré comme vulnérable.

L'éditeur a connaissance d'exploitation de cette vulnérabilité sur des équipements non mis à jour. Le CERT-FR anticipe donc des exploitations en masse de la vulnérabilité CVE-2022-27518.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

DÉTECTION

L'application seule des correctifs n'est pas suffisante. En effet, si un attaquant a exploité la vulnérabilité avant leur application, il a pu déposer une porte dérobée qui lui permettra de se connecter ultérieurement au système.

Il est recommandé d'effectuer une analyse des systèmes notamment à l'aide des indicateurs de compromission [1]. Ces marqueurs préliminaires sont fournis à titre indicatif et ne sont pas exhaustifs.