La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié jeudi un avis avertissant que la faille de sécurité critique récemment révélée dans Citrix NetScaler Application Delivery Controller (ADC) et les appareils Gateway est utilisée de manière abusive pour déposer des shells Web sur des systèmes vulnérables.
« En juin 2023, les acteurs de la menace ont exploité cette vulnérabilité comme un jour zéro pour déposer un shell Web sur l’appliance NetScaler ADC de l’environnement de non-production d’une organisation d’infrastructure critique », a déclaré l’agence. a dit.
« Le shell Web a permis aux acteurs d’effectuer une découverte sur le répertoire actif (AD) de la victime et de collecter et d’exfiltrer les données AD. Les acteurs ont tenté de se déplacer latéralement vers un contrôleur de domaine, mais les contrôles de segmentation du réseau pour l’appliance ont bloqué le mouvement. »
La lacune en question est CVE-2023-3519 (score CVSS : 9,8), un bogue d’injection de code qui pourrait entraîner l’exécution de code à distance non authentifié. Citrix, plus tôt cette semaine, a publié des correctifs pour le problème et a mis en garde contre une exploitation active dans la nature.
Une exploitation réussie nécessite que l’appliance soit configurée en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou serveur virtuel d’authentification, d’autorisation et d’audit (AAA).
CISA n’a pas divulgué le nom de l’organisation qui a été touchée par l’incident. L’auteur de la menace ou le pays prétendument derrière elle est actuellement inconnu.
Dans l’incident analysé par CISA, le shell Web aurait permis la collecte des fichiers de configuration NetScaler, des clés de déchiffrement NetScaler et des informations AD, après quoi les données ont été transmises sous forme de fichier image PNG (« medialogininit.png »).
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Les tentatives ultérieures de l’adversaire de se déplacer latéralement sur le réseau ainsi que d’exécuter des commandes pour identifier les cibles accessibles et vérifier la connectivité du réseau sortant ont été contrecarrées en raison de solides pratiques de segmentation du réseau, a noté l’agence, ajoutant que les acteurs ont également tenté de supprimer leurs artefacts pour dissimuler les pistes.
Les vulnérabilités des produits de passerelle tels que NetScaler ADC et NetScaler Gateway sont devenues des cibles populaires pour les pirates qui cherchent à obtenir un accès privilégié aux réseaux ciblés. Il est donc impératif que les utilisateurs agissent rapidement pour appliquer les derniers correctifs afin de se protéger contre les menaces potentielles.