Citrix a averti aujourd’hui les administrateurs de sécuriser immédiatement toutes les appliances NetScaler ADC et Gateway contre les attaques en cours exploitant la vulnérabilité CVE-2023-4966.

La société a corrigé cette faille critique de divulgation d’informations sensibles (suivie comme CVE-2023-4966) il y a deux semaines, lui attribuant une note de gravité de 9,4/10 car il est exploitable à distance par des attaquants non authentifiés dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.

Les appliances NetScaler doivent être configurées en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou serveur virtuel AAA pour être vulnérables aux attaques.

Alors que la société n’avait aucune preuve que la vulnérabilité était exploitée à l’état sauvage lorsque le correctif a été publié, l’exploitation en cours a été révélée par Mandiant une semaine plus tard.

La société de cybersécurité a déclaré que les acteurs malveillants exploitaient CVE-2023-4966 comme jour zéro depuis fin août 2023 pour voler des sessions d’authentification et détourner des comptes, ce qui pourrait aider les attaquants à contourner l’authentification multifacteur ou d’autres exigences d’authentification fortes.

Mandiant a averti que les sessions compromises persistent même après l’application des correctifs et que, en fonction des autorisations des comptes compromis, les attaquants pourraient se déplacer latéralement sur le réseau ou compromettre d’autres comptes.

De plus, Mandiant a découvert des cas où CVE-2023-4966 a été exploité pour infiltrer l’infrastructure d’entités gouvernementales et d’entreprises technologiques.

Les administrateurs sont invités à sécuriser les systèmes contre les attaques en cours

« Nous avons désormais des rapports d’incidents correspondant à un détournement de session et avons reçu des rapports crédibles d’attaques ciblées exploitant cette vulnérabilité. » Citrix averti aujourd’hui.

« Si vous utilisez les builds concernés et avez configuré NetScaler ADC comme passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou comme serveur virtuel AAA, nous vous recommandons fortement d’installer immédiatement les builds recommandés car cette vulnérabilité a été identifié comme critique. »

Citrix a ajouté qu’il est « incapable de fournir une analyse médico-légale pour déterminer si un système a pu être compromis ».

Citrix recommande également de supprimer toutes les sessions actives et persistantes à l’aide des commandes suivantes :

kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions

Les appareils NetScaler ADC et NetScaler Gateway, lorsqu’ils ne sont pas configurés en tant que passerelles (y compris serveur virtuel VPN, proxy ICA, CVPN ou proxy RDP) ou en tant que serveurs virtuels AAA (configurations d’équilibrage de charge typiques, par exemple), ne sont pas vulnérables à CVE-2023. -4966 attaques.

Cela inclut également des produits tels que NetScaler Application Delivery Management (ADM) et Citrix SD-WAN, comme l’a confirmé Citrix.

Jeudi dernier, CISA ajouté CVE-2023-4966 à son catalogue des vulnérabilités et des exploitations connues, ordonnant aux agences fédérales de sécuriser leurs systèmes contre toute exploitation active d’ici le 8 novembre.