Citrix ADC : alerte à l’exploitation d’une grave vulnérabilité

Mi-décembre, Citrix publiait un bulletin d’alerte pour son contrôleur de fourniture d’applications (ADC) et sa passerelle. Et pas seulement quelques versions isolées : la vulnérabilité référencée CVE-2019-19781, découverte par les équipes de Positive Technologies, « affecte toutes les versions de produit supportées et toutes les plateformes supportées » de Citrix ADC/NetScaler ADC et Gateway/NetScaler Gateway. Personne, donc, n’y échappe pour ces systèmes qui ont naturellement vocation à être exposés en ligne. Citrix propose des mesures visant à éviter l’exploitation de la vulnérabilité, mais pas encore de correctif.

Bonne nouvelle, il n’existe pas encore de code d’exploitation public. Mais cela ne saurait tarder, et il y a fort à parier que certains assaillants en disposent déjà. Car Craig Young, chez Tripwire, s’est penché sur les mesures proposées par Citrix pour enquêter sur la vulnérabilité elle-même et son exploitation. Verdict : « la chaîne d’exploitation complète nécessite seulement deux requêtes https pour aboutir à l’exécution [de commandes arbitraires] ».

Kevin Beaumont observe depuis ce 8 janvier des campagnes d’analyse d’assaillants à la recherche de systèmes vulnérables. Il n’est pas le seul : Johannes Ullrich, de l’institut Sans, fait le même constat. Et selon le Cert gouvernemental américain, les tentatives d’exploitation ont commencé.

Selon les recherches de Craig Young, il faut compter avec près de 40 000 systèmes vulnérables exposés sur Internet, pour au moins 26 000 organisations distinctes à travers le monde, dont au moins quelques centaines d’administrations gouvernementales. Pour lui, cette situation est tout simplement « alarmante », compte tenu du risque potentiel.

Chez Nextron Systems, Florian Roth a développé une règle sigma de détection des tentatives d’exploitation de la vulnérabilité, à partir de journaux d’activité.