Citrix ADC, Gateway, SD-WAN : retour à la case patch

Citrix vient d’inviter ses clients à appliquer les correctifs pour de nouvelles vulnérabilités affectant ses produits réseau. Des pirates pourraient les exploiter pour prendre le contrôle de systèmes informatiques.

Ces vulnérabilités affectent les produits ADC (Application Delivery Controller), Gateway et SD-WAN de Citrix. L’entreprise a publié un bulletin de sécurité la semaine dernière, assorti d’un billet de blog de son RSSI, Fermin Serna. Dans celui-ci, il explique ne pas avoir connaissance d’une quelconque exploitation des vulnérabilités.

Et le RSSI de souligner l’existence de barrières pour empêcher l’exploitation de ces vulnérabilités par des assaillants. Plusieurs méthodes d’attaque utilisent l’interface d’administration, dont Citrix recommande déjà de ne la rendre accessible que via une interface réseau dédiée – un vœu pieu, dirons certains esprits chagrins. D’autres méthodes impliquent un accès préexistant à un dispositif vulnérable.

Enfin, Fermin Serna souligne que ces nouvelles vulnérabilités ne sont pas liées à la désormais tristement célèbre vulnérabilité CVE-2019-19781, communément appelée Shitrix. Plusieurs victimes de ransomware ayant exposé des systèmes affectés ont été identifiées par le passé : Chubb, Conduent et Pitney Bowes, par Maze, mais aussi ISS World, touché par Ryuk, ou encore Bretagne Telecom, par DoppelPaymer, de même que Enel et Honda.

Quoi que dise Citrix de la sévérité de ces nouvelles vulnérabilités, et des freins à leur exploitation, sur Twitter, Rob Joyce, l’ancien patron de l’équipe offensive de la NSA, la TAO, appelle sans réserve à appliquer les correctifs au plus vite. De son côté, Johannes Ullrich, de l’institut Sans, indique avoir observé des tentatives d’exploitation des nouvelles vulnérabilités.