Citrix a publié hier de nouveaux correctifs de sécurité pour autant que 11 failles de sécurité qui affectent ses produits de mise en réseau Citrix Application Delivery Controller (ADC), Gateway et SD-WAN WAN Optimization Edition (WANOP).
Une exploitation réussie de ces failles critiques pourrait permettre à des attaquants non authentifiés d’effectuer des injections de code, la divulgation d’informations et même des attaques par déni de service contre la passerelle ou le serveurs virtuels d’authentification.
Citrix a confirmé que les problèmes susmentionnés n’affectent pas les autres serveurs virtuels, tels que l’équilibrage de charge et les serveurs virtuels de commutation de contenu.
Parmi les appliances Citrix SD-WAN WANOP concernées figurent les modèles 4000-WO, 4100-WO, 5000-WO et 5100-WO.
Le fournisseur de réseau a également réitéré que ces vulnérabilités n’étaient pas connectées à une faille NetScaler zero-day précédemment corrigée (étiquetée comme CVE-2019-19781) qui a permis à de mauvais acteurs de se produire exécution de code arbitraire même sans authentification appropriée.
Il a également déclaré qu’il n’y avait aucune preuve que les failles nouvellement révélées étaient exploitées dans la nature et que les obstacles à l’exploitation de ces failles étaient élevés.
« Sur les 11 vulnérabilités, il existe six voies d’attaques possibles; cinq d’entre elles ont des barrières à l’exploitation », a déclaré CISO Fermin Serna de Citrix. « Deux des trois attaques possibles restantes nécessitent en outre une forme d’accès existante. Cela signifie effectivement qu’un acteur malveillant externe devrait d’abord obtenir un accès non autorisé à un appareil vulnérable pour pouvoir mener une attaque. »
Bien que Citrix se soit abstenu de publier des détails techniques sur les vulnérabilités en citant les efforts des acteurs malveillants pour exploiter les correctifs et les informations pour inverser les exploits, les attaques sur l’interface de gestion des produits pourraient entraîner la compromission du système par un utilisateur non authentifié ou via Cross- Site Scripting (XSS) sur l’interface de gestion.
Un adversaire pourrait également créer un lien de téléchargement pour un appareil vulnérable, ce qui pourrait entraîner la compromission d’un ordinateur local lors de l’exécution par un utilisateur non authentifié sur le réseau de gestion.
Une deuxième classe d’attaques concerne les IP virtuelles (VIP), permettant à un attaquant de monter le DoS sur la passerelle ou de scanner à distance les ports du réseau interne.
« Les attaquants peuvent seulement discerner si une connexion TLS est possible avec le port et ne peuvent plus communiquer avec les terminaux », a noté Citrix dans son consultatif.
De plus, une vulnérabilité distincte dans le plug-in Citrix Gateway pour Linux (CVE-2020-8199) accorderait à un utilisateur local connecté d’un système Linux d’élever ses privilèges à un compte d’administrateur sur ce système.
Selon un Technologies positives rapport en décembre dernier, les applications de gestion du trafic et d’accès distant sécurisé sont utilisées par plus de 80 000 organisations à travers le monde.
Il est recommandé de télécharger et d’appliquer les dernières versions des appliances Citrix ADC, Citrix Gateway et Citrix SD-WAN WANOP dès que possible afin d’atténuer les risques et de se défendre contre les attaques potentielles conçues pour exploiter ces failles.
