Accéder au contenu principal

ALERTES DE SÉCURITÉ

ALERTES DE SÉCURITÉ

ALERTES DE SÉCURITÉ

Rédigé le . Publié dans Alertes du CERT FR.

[MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway (23 octobre 2023)

\[Mise à jour du 22 novembre 2023\] L'éditeur a publié un document \[3\] le 20 novembre 2023 listant les différents journaux à analyser ainsi que les éléments à rechercher pour identifier une

Résumé

[Mise à jour du 22 novembre2023]

L'éditeur a publié un document [3] le 20 novembre 2023 listant lesdifférents journaux à analyser ainsi que les éléments à rechercher pouridentifier une activité pouvant être liée à une compromission.

Par ailleurs, la CISA a publié un avis de sécurité le 21 novembre 2023[4] indiquant que, comme anticipé le 24 octobre, des campagnes d'exploitationmassives sont en cours notamment pour le déploiement de rançongiciels.

Le CERT-FR rappelle que tout équipementqui n'aurait pas été mis à jour doit être considéré comme compromis. Ilest impératif de réaliser des investigations sans délai [5] ens'appuyant sur l'ensemble des recommandations fournies dans lesdifférentes publications [2][3][4].

[Mise à jour du 24 octobre 2023]Des chercheurs ont publiés des détails techniques sur lavulnérabilité ce jour. LeCERT-FR anticipe l'apparition de codes d'exploitation publics suivied'une augmentation des tentatives d'exploitation de cettevulnérabilité.

[Publication initiale]

Le 10 octobre 2023, Citrix a publié un avis de sécurité [1] concernantla vulnérabilité CVE-2023-4966 affectant NetScaler ADC et NetScalerGateway. L'éditeur lui a donné un score de 9,4 et indiqué qu'elle permetune atteinte à la confidentialité des données.

Le 17 octobre 2023, Citrix a mis son avis à jour pour déclarer avoirconnaissance d'exploitations actives de la vulnérabilité CVE-2023-4966.

Le même jour, Mandiant a publié un billet de blogue [2] dans lequell'entreprise déclare avoir connaissance d'exploitations actives de cettevulnérabilité depuis fin août 2023.  Mandiant précise que l’exploitationde cette vulnérabilité permet à l'attaquant de prendre le contrôle desessions actives avec le niveau de privilèges des utilisateursconcernés. Cela permet de contourner l'authentification à multiplesfacteurs et le seul fait d'appliquer la mise à jour ne bloque pasl'accès à l'attaquant.

Sur la base des informations fournies par Mandiant dans son rapport (cf.le rapport détaillé référencé dans son billet [2]), le CERT-FRrecommande de réaliser les actions suivantes :

  • appliquer la mise à jour sans délai ;
  • couper toutes les sessions existantes sans délai ;
  • renouveler les mots de passe des comptes déclarés sur lespasserelles vulnérables ;
  • mener des investigations pour identifier les actions prises par unpotentiel attaquant.
  • Vues : 348