Citrix a publié mises à jour de sécurité pour résoudre une faille critique de contournement d’authentification dans le contrôleur de livraison d’applications (ADC) et la passerelle qui pourrait être exploitée pour prendre le contrôle des systèmes affectés.
L’exploitation réussie des problèmes pourrait permettre à un adversaire d’obtenir un accès autorisé, d’effectuer une prise de contrôle à distance du bureau et même de contourner les défenses contre les tentatives de connexion par force brute dans des configurations spécifiques.
- CVE-2022-27510 – Accès non autorisé aux fonctionnalités de l’utilisateur de la passerelle
- CVE-2022-27513 – Prise de contrôle de bureau à distance via phishing
- CVE-2022-27516 – Contournement de la fonctionnalité de protection contre la force brute de connexion de l’utilisateur
Les versions prises en charge suivantes de Citrix ADC et Citrix Gateway sont affectées par les failles –
- Citrix ADC et Citrix Gateway 13.1 avant 13.1-33.47
- Citrix ADC et Citrix Gateway 13.0 avant 13.0-88.12
- Citrix ADC et Citrix Gateway 12.1 avant 12.1.65.21
- Citrix ADC 12.1-FIPS avant 12.1-55.289
- Citrix ADC 12.1-NDcPP avant 12.1-55.289
L’exploitation mise cependant sur le prérequis que les appliances soient soit configurées en VPN (Gateway) soit, alternativement, une authentification, autorisation et comptabilité (AAA) serveur virtuel dans le cas de CVE-2022-27516.
De plus, CVE-2022-27513 et CVE-2022-27516 s’appliquent également uniquement lorsque la fonctionnalité de proxy RDP et la fonctionnalité de verrouillage de l’utilisateur « Max Login Attempts » sont respectivement configurées.
La société de technologie de cloud computing et de virtualisation a déclaré qu’aucune action n’est requise de la part des clients s’appuyant sur des services cloud gérés directement par Citrix.
Jarosław Jahrek Kamiński, chercheur à la société polonaise de tests d’intrusion Securitum, a été crédité d’avoir découvert et signalé les vulnérabilités.
« Il est recommandé aux clients concernés de Citrix ADC et Citrix Gateway d’installer les versions mises à jour pertinentes de Citrix ADC ou Citrix Gateway dès que possible », a déclaré Citrix dans un avis.