Citrix met en garde contre l’exploitation d’une faille de sécurité critique récemment révélée dans les appliances NetScaler ADC et Gateway, qui pourrait entraîner la divulgation d’informations sensibles.
Suivi comme CVE-2023-4966 (score CVSS : 9,4), la vulnérabilité affecte les versions prises en charge suivantes :
- NetScaler ADC et NetScaler Gateway 14.1 avant 14.1-8.50
- NetScaler ADC et NetScaler Gateway 13.1 avant 13.1-49.15
- NetScaler ADC et NetScaler Gateway 13.0 avant 13.0-92.19
- NetScaler ADC et NetScaler Gateway 12.1 (actuellement en fin de vie)
- NetScaler ADC 13.1-FIPS avant 13.1-37.164
- NetScaler ADC 12.1-FIPS avant 12.1-55.300, et
- NetScaler ADC 12.1-NDcPP avant 12.1-55.300
Cependant, pour que l’exploitation se produise, l’appareil doit être configuré en tant que serveur virtuel de passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou d’autorisation et de comptabilité (AAA).
Alors que des correctifs pour la faille ont été publiés le 10 octobre 2023, Citrix a maintenant révisé l’avis pour noter que « des exploits de CVE-2023-4966 sur des appliances non atténuées ont été observés ».
Mandiant, propriété de Google, dans sa propre alerte publiée mardi, a déclaré avoir identifié une exploitation zero-day de la vulnérabilité à partir de fin août 2023.
« Une exploitation réussie pourrait permettre de détourner des sessions authentifiées existantes, contournant ainsi l’authentification multifacteur ou d’autres exigences d’authentification forte », a déclaré la société de renseignement sur les menaces. dit.
« Ces sessions peuvent persister après le déploiement de la mise à jour visant à atténuer CVE-2023-4966. »
Mandiant a également déclaré avoir détecté un détournement de session dans lequel les données de session ont été volées avant le déploiement du correctif, puis utilisées par un acteur malveillant non spécifié.
« Le détournement de session authentifié pourrait alors entraîner un accès en aval supplémentaire en fonction des autorisations et de l’étendue de l’accès autorisé à l’identité ou à la session », ajoute-t-il.
« Un acteur malveillant pourrait utiliser cette méthode pour récolter des informations d’identification supplémentaires, pivoter latéralement et accéder à des ressources supplémentaires au sein d’un environnement. »
L’auteur de la menace derrière ces attaques n’a pas été déterminé, mais la campagne aurait ciblé les services professionnels, la technologie et les organisations gouvernementales.
À la lumière de l’utilisation abusive de la faille et du fait que les bogues Citrix deviennent un paratonnerre pour les acteurs malveillants, il est impératif que les utilisateurs agissent rapidement pour mettre à jour leurs instances vers la dernière version afin d’atténuer les menaces potentielles.
« Les organisations doivent faire plus que simplement appliquer le correctif : elles doivent également mettre fin à toutes les sessions actives », Charles Carmakal, CTO de Mandiant. dit. « Bien qu’il ne s’agisse pas d’une vulnérabilité d’exécution de code à distance, veuillez donner la priorité au déploiement de ce correctif étant donné l’exploitation active et la criticité de la vulnérabilité. »