Une vulnérabilité critique identifiée comme CVE-2023-4966 dans les appareils Citrix NetScaler ADC/Gateway a été activement exploitée en tant que jour zéro depuis fin août, ont annoncé des chercheurs en sécurité.
Le problème de sécurité est une divulgation d’informations et a reçu un correctif la semaine dernière. Il permet aux attaquants d’accéder aux secrets des appareils configurés comme passerelles de serveurs virtuels d’authentification, d’autorisation et de comptabilité (AAA).
Dans un bulletin de sécurité du 10 octobre contenant peu de détails techniques, Citrix a fortement exhorté ses clients à installer sans délai la mise à jour disponible.
Un rapport de Mandiant a révélé avoir trouvé des signes d’exploitation du CVE-2023-4966 depuis août pour voler des sessions d’authentification et détourner des comptes.
« Mandiant a identifié une exploitation zero-day de cette vulnérabilité à partir de fin août 2023 », indique la société de cybersécurité.
« Une exploitation réussie pourrait aboutir à la possibilité de détourner les sessions authentifiées existantes, contournant ainsi l’authentification multifacteur ou d’autres exigences d’authentification forte » – Mandiant
La société prévient également que les sessions détournées persistent même après l’installation de la mise à jour de sécurité. En fonction des autorisations du compte piraté, les attaquants peuvent exploiter la méthode pour se déplacer latéralement ou pour pirater davantage de comptes.
Les chercheurs en sécurité ont observé que CVE-2023-4966 était exploité pour accéder à des infrastructures appartenant à des organisations gouvernementales et à des entreprises technologiques.
Correction et atténuation
Outre l’application du correctif de Citrix, Mandiant a publié un document contenant des recommandations de remédiation pour les administrateurs NetScaler ADC/Gateway avec les suggestions suivantes :
- Restreignez les adresses IP d’entrée si l’application immédiate de correctifs n’est pas réalisable.
- Terminez toutes les sessions après la mise à niveau et exécutez la commande CLI : clear lb persistentSessions
. - Faites pivoter les informations d’identification pour les identités accédant aux appareils vulnérables.
- Si une activité suspecte est détectée, en particulier avec l’authentification à un seul facteur, effectuez une rotation avec un éventail plus large d’informations d’identification.
- Pour les shells Web ou les portes dérobées détectés, reconstruisez les appliances avec la dernière image source propre.
- Si vous effectuez une restauration à partir d’une sauvegarde, assurez-vous qu’aucune porte dérobée ne se trouve dans la configuration de sauvegarde.
- Limitez l’exposition aux attaques externes en limitant l’entrée aux adresses IP de confiance.
En outre, la mise à niveau des appareils vers les versions de micrologiciel suivantes doit être prioritaire :
- NetScaler ADC et NetScaler Gateway 14.1-8.50 et versions ultérieures
- NetScaler ADC et NetScaler Gateway 13.1-49.15 et versions ultérieures de 13.1
- NetScaler ADC et NetScaler Gateway 13.0-92.19 et versions ultérieures de 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.164 et versions ultérieures de 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.300 et versions ultérieures de 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.300 et versions ultérieures de 12.1-NdcPP
Il s’agit de la deuxième faille zero-day corrigée par Citrix dans ses produits cette année. Un précédent, identifié comme CVE-2023-3519, avait été exploité dans la nature début juillet et avait reçu un correctif quelques semaines plus tard.