[MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway (23 octobre 2023)

Risques

Atteinte à la confidentialité des données
Exécution de code arbitraire à distance

Systèmes affectés

NetScaler ADC et NetScaler Gateway versions 14.1.x antérieures à 14.1-8.50
NetScaler ADC et NetScaler Gateway versions 13.1.x antérieures à ?13.1-49.15
NetScaler ADC et NetScaler Gateway versions 13.0.x antérieures à 13.0-92.19
NetScaler ADC 13.1-FIPS versions antérieures à 13.1-37.164
NetScaler ADC 12.1-FIPS versions antérieures à 12.1-55.300
NetScaler ADC 12.1-NDcPP versions antérieures à 12.1-55.300

Citrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsolètes.

Résumé

[Mise à jour du 22 novembre 2023]

L'éditeur a publié un document [3] le 20 novembre 2023 listant les différents journaux à analyser ainsi que les éléments à rechercher pour identifier une activité pouvant être liée à une compromission.

Par ailleurs, la CISA a publié un avis de sécurité le 21 novembre 2023 [4] indiquant que, comme anticipé le 24 octobre, des campagnes d'exploitation massives sont en cours notamment pour le déploiement de rançongiciels.

Le CERT-FR rappelle que tout équipement qui n'aurait pas été mis à jour doit être considéré comme compromis. Il est impératif de réaliser des investigations sans délai [5] en s'appuyant sur l'ensemble des recommandations fournies dans les différentes publications [2][3][4].

[Mise à jour du 24 octobre 2023] Des chercheurs ont publiés des détails techniques sur la vulnérabilité ce jour. Le CERT-FR anticipe l'apparition de codes d'exploitation publics suivie d'une augmentation des tentatives d'exploitation de cette vulnérabilité.

[Publication initiale]

Le 10 octobre 2023, Citrix a publié un avis de sécurité [1] concernant la vulnérabilité CVE-2023-4966 affectant NetScaler ADC et NetScaler Gateway. L'éditeur lui a donné un score de 9,4 et indiqué qu'elle permet une atteinte à la confidentialité des données.

Le 17 octobre 2023, Citrix a mis son avis à jour pour déclarer avoir connaissance d'exploitations actives de la vulnérabilité CVE-2023-4966.

Le même jour, Mandiant a publié un billet de blogue [2] dans lequel l'entreprise déclare avoir connaissance d'exploitations actives de cette vulnérabilité depuis fin août 2023. Mandiant précise que l’exploitation de cette vulnérabilité permet à l'attaquant de prendre le contrôle de sessions actives avec le niveau de privilèges des utilisateurs concernés. Cela permet de contourner l'authentification à multiples facteurs et le seul fait d'appliquer la mise à jour ne bloque pas l'accès à l'attaquant.

Sur la base des informations fournies par Mandiant dans son rapport (cf. le rapport détaillé référencé dans son billet [2]), le CERT-FR recommande de réaliser les actions suivantes :

appliquer la mise à jour sans délai ;
couper toutes les sessions existantes sans délai ;
renouveler les mots de passe des comptes déclarés sur les passerelles vulnérables ;
mener des investigations pour identifier les actions prises par un potentiel attaquant.