Citrix Gateway : l’exploitation de la vulnérabilité a commencé

La trêve aura été de courte durée. Sans trop de surprise, compte tenu de la simplicité d’exploitation de la vulnérabilité CVE-2019-19781, des démonstrateurs sont disponibles depuis la fin de la fin de semaine, permettant de prendre le contrôle des équipements Citrix ADC/Netscaler et Gateway/Netscaler Gateway pour lesquels les mesures préventives recommandées par le constructeur n’ont pas été appliquées. Et cela vaut aussi pour les appliances virtuelles sur Azure et AWS.

Face à cela, TrustedSec a décidé de rendre public un outil visant à vérifier si un équipement est vulnérable ou pas. Le moteur de recherche spécialisé Shodan s’est quant à lui mis à indiquer si les hôtes qu’il référence sont affectés ou pas. Attention à la tentation de l’alarmisme : dans certains cas, les mesures préventives ont été appliquées après que Shodan ait actualisé ses données ; il peut donc indiquer comme vulnérables des systèmes qui ne le sont en fait plus. Et le célèbre Metasploit vient de se voir enrichi d’un module d’exploitation de cette vulnérabilité désormais surnommée Shitrix – sous l’effet d’une inspiration de Kevin Beaumont.

Sur le terrain, les assauts ont donc commencé. Les campagnes massives de recherche de systèmes vulnérables sont engagées. Marcus Hutchins indique ainsi observer la mise en place de portes dérobées visant à déployer plus tardivement. Mais pour Kevin Beaumont, ce n’est en fait qu’une question de temps avant que les assaillants ne trouvent comment prolonger, dans l’environnement Windows dont il est la porte d’entrée, le pied posé sur le système compromis.

Pour l’heure, à moins d’une couche de protection parfaitement configurée en amont du système vulnérable, il n’y a guère à jouer que la carte de la prévention suivant les recommandations de Citrix. Et celles-ci ne sont d’aucune utilité contre une intrusion survenue avant leur mise en œuvre. TrustedSec a conçu un guide pour aider les équipes de sécurité à enquêter et vérifier si la vulnérabilité a été mise à profit par les cybermalandrins. Une compilation de ressources à l’intention des équipes de sécurité a en outre été réalisée sur reddit.

Mais quid des correctifs ? Il va falloir attendre. Citrix annonce les premiers pour le 27 janvier, destinés à ses systèmes dans leur version 13. Son calendrier va jusqu’au 31 janvier. Il a été accéléré dans le courant du week-end. Alors que certaines critiques ne manquaient pas de se faire entendre – notamment sur l’appréciation du constructeur de la gravité de la situation. Et accessoirement, si Citrix assure que ses rustines « seront complètes et pleinement testées », il ne dit rien de leur capacité à détecter et alerter sur une éventuelle compromission survenue avant leurs applications.