Des milliers de terminaux Citrix Application Delivery Controller (ADC) et Gateway restent vulnérables à deux failles de sécurité critiques révélées par la société au cours des derniers mois.
Les problèmes en question sont CVE-2022-27510 et CVE-2022-27518 (scores CVSS : 9,8), qui ont été traités par le fournisseur de services de virtualisation le 8 novembre et le 13 décembre 2022, respectivement.
Alors que CVE-2022-27510 concerne un contournement d’authentification qui pourrait être exploitée pour obtenir un accès non autorisé aux capacités des utilisateurs de Gateway, CVE-2022-27518 concerne un bogue d’exécution de code à distance qui pourrait permettre la prise de contrôle des systèmes affectés.
Citrix et la National Security Agency (NSA) des États-Unis ont averti plus tôt ce mois-ci que CVE-2022-27518 était activement exploité dans la nature par des acteurs de la menace, y compris le groupe parrainé par l’État APT5 lié à la Chine.
Désormais, selon un nouvelle analyse Selon l’équipe de recherche Fox-IT de NCC Group, des milliers de serveurs Citrix connectés à Internet ne sont toujours pas corrigés, ce qui en fait une cible attrayante pour les équipes de piratage.
Cela comprend plus de 3 500 serveurs Citrix ADC et Gateway exécutant la version 12.1-65.21 qui sont sensibles à CVE-2022-27518, ainsi que plus de 500 serveurs exécutant 12.1-63.22 qui sont vulnérables aux deux failles.
La majorité des serveurs, soit pas moins de 5 000, exécutent 13.0-88.14, une version immunisée contre CVE-2022-27510 et CVE-2022-27518.
Une répartition par pays montre que plus de 40 % des serveurs situés au Danemark, aux Pays-Bas, en Autriche, en Allemagne, en France, à Singapour, en Australie, au Royaume-Uni et aux États-Unis ont été mis à jour, la Chine étant la pire, où seulement 20 % de près de 550 serveurs ont été patchés.
Fox-IT a déclaré qu’il était en mesure de déduire le information sur la version à partir d’une valeur de hachage de type MD5 présente dans la réponse HTTP de l’URL de connexion (c’est-à-dire “ns_gui/vpn/index.html”) et en la mappant à leurs versions respectives.