Résumé
Le 18 juillet 2023, Citrix a publié un avis de sécurité concernant
plusieurs vulnérabilités. La plus critique, dont l'identifiant CVE est
CVE-2023-3519, permet à un attaquant non authentifié d'exécuter du code
arbitraire à distance.
L'équipement est vulnérable s'il est configuré en tant que passerelle
(Gateway : VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou en tant
que serveur virtuel AAA (AAA?virtual?server).
L'éditeur indique que les produits NetScaler ADC et NetScaler Gateway en
version 12.1 sont en fin de vie. Les clients sont invités à migrer vers
une version supportée et à jour des correctifs de sécurité.
Citrix indique que cette vulnérabilité est activement exploitée. Le
CERT-FR recommande donc fortement d'appliquer le correctif dans les plus
brefs délais.
Détection d'une compromission
[mise à jour du 20 juillet
2023] La CISA a documenté une méthode de recherche des signes
d'une compromission de l'équipement [2].
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
L'application seule des correctifs n'est pas suffisante. Il est
fortement recommandé d'effectuer une analyse des systèmes [2]. En cas
de suspicion de compromission, il est recommandé de continuer les
investigations afin de déterminer les actions prises par un éventuel
attaquant [1].