Citrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsolètes.
Résumé
[Mise à jour du 22 novembre
2023]
L'éditeur a publié un document [3] le 20 novembre 2023 listant les
différents journaux à analyser ainsi que les éléments à rechercher pour
identifier une activité pouvant être liée à une compromission.
Par ailleurs, la CISA a publié un avis de sécurité le 21 novembre 2023
[4] indiquant que, comme anticipé le 24 octobre, des campagnes d'exploitation
massives sont en cours notamment pour le déploiement de rançongiciels.
Le CERT-FR rappelle que tout équipement
qui n'aurait pas été mis à jour doit être considéré comme compromis. Il
est impératif de réaliser des investigations sans délai [5] en
s'appuyant sur l'ensemble des recommandations fournies dans les
différentes publications [2][3][4].
[Mise à jour du 24 octobre 2023]
Des chercheurs ont publiés des détails techniques sur la
vulnérabilité ce jour. Le
CERT-FR anticipe l'apparition de codes d'exploitation publics suivie
d'une augmentation des tentatives d'exploitation de cette
vulnérabilité.
[Publication initiale]
Le 10 octobre 2023, Citrix a publié un avis de sécurité [1] concernant
la vulnérabilité CVE-2023-4966 affectant NetScaler ADC et NetScaler
Gateway. L'éditeur lui a donné un score de 9,4 et indiqué qu'elle permet
une atteinte à la confidentialité des données.
Le 17 octobre 2023, Citrix a mis son avis à jour pour déclarer avoir
connaissance d'exploitations actives de la vulnérabilité CVE-2023-4966.
Le même jour, Mandiant a publié un billet de blogue [2] dans lequel
l'entreprise déclare avoir connaissance d'exploitations actives de cette
vulnérabilité depuis fin août 2023. Mandiant précise que l’exploitation
de cette vulnérabilité permet à l'attaquant de prendre le contrôle de
sessions actives avec le niveau de privilèges des utilisateurs
concernés. Cela permet de contourner l'authentification à multiples
facteurs et le seul fait d'appliquer la mise à jour ne bloque pas
l'accès à l'attaquant.
Sur la base des informations fournies par Mandiant dans son rapport (cf.
le rapport détaillé référencé dans son billet [2]), le CERT-FR
recommande de réaliser les actions suivantes :
- appliquer la mise à jour sans délai ;
- couper toutes les sessions existantes sans délai ;
- renouveler les mots de passe des comptes déclarés sur les
passerelles vulnérables ;
- mener des investigations pour identifier les actions prises par un
potentiel attaquant.