DĂ©couverte d’une faille exploitant la CVE-2023-4966.

Une faille de sĂ©curitĂ© critique sur l’environnement Citrix a Ă©tĂ© publiĂ©e le 10 octobre 2023 concernant NetScaler ADC et NetScaler Gateway.
Une mise à jour a été effectuée le 20 novembre pour y apporter plus de précisions.

Cette vulnĂ©rabilitĂ© permet Ă  un attaquant d’exploiter les Ă©quipements Citrix Netscaler ADC et Netscaler Gateway configurĂ©s en tant que passerelle, serveur virtuel VPN, Proxy ICA, CVPN, Proxy RDP ou serveur virtuel AAA. Il s’agit de la CVE-2023-4966.

Le groupe de ransomware LockBit attaque activement les équipements vulnérables.

Produits affectés :

  • NetScaler ADC et NetScaler Gateway versions 14.1.x antĂ©rieures Ă  14.1-8.50
  • NetScaler ADC et NetScaler Gateway versions 13.1.x antĂ©rieures Ă  13.1-49.15
  • NetScaler ADC et NetScaler Gateway versions 13.0.x antĂ©rieures Ă  13.0-92.19
  • NetScaler ADC 13.1-FIPS versions antĂ©rieures Ă  13.1-37.164
  • NetScaler ADC 12.1-FIPS versions antĂ©rieures Ă  12.1-55.300
  • NetScaler ADC 12.1-NDcPP versions antĂ©rieures Ă  12.1-55.300
Citrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsolĂštes.

Potentielles consĂ©quences :

– ExĂ©cution de code Ă  distance
– Atteinte de donnĂ©es confidentielles

Remédiation :

Mettre à jour dÚs que possible vos équipements cités ci-dessus.
AprĂšs avoir mis Ă  jour vos Ă©quipements, ITrust vous recommande de supprimer toutes les sessions actives ou persistantes en utilisant les commandes suivantes :

kill aaa session -all
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
clear lb persistentSessions

Investiguez sur des potentielles traces de compromission :
Veuillez vĂ©rifier si des sessions effectuent des actions anormales dans votre rĂ©seau, notamment liĂ©es aux bureaux virtuels, si vous les avez configurĂ©s.
VĂ©rifiez les logs liĂ©s Ă  “SSLVPN TCPCONNSTAT” contenant des champs ‘Client_ip’ et
‘Source’ diffĂ©rents. Veuillez noter que ceci n’est pas forcĂ©ment une action illĂ©gitime.

Recommandations complémentaires :

Utilisez les dispositifs de sĂ©curitĂ© du SI : SIEMEDR ou contactez votre prestataire de supervision de votre cybersĂ©curitĂ© (SOC managĂ©).

> Ne pas laissez ce type de services exposĂ©s et sans protection. ITrust vous propose des outils pour dĂ©tecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.

> Scannez rĂ©guliĂšrement votre rĂ©seau, afin de dĂ©tecter les failles de sĂ©curitĂ© et les correctifs Ă  appliquer. Notre scanner de vulnĂ©rabilitĂ© IKare, disponible en version d’essai gratuite, permet de dĂ©tecter les nouvelles failles de sĂ©curitĂ©.

Si vous avez besoin d’aide pour corriger ces failles, appelez nous. (05.67.34.67.80)

*Sources :
https://cybersecuritynews.com/citrix-netscaler-zero-day-exploited/
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-012/