Une vulnérabilité inédite de Citrix Gateway et ADC activement exploitée

Une vulnérabilité critique dans deux produits Citrix, récemment dévoilée, est activement exploitée, selon un avis de sécurité publié par Citrix ce mardi 13 décembre.

La vulnérabilité, référencée CVE-2022-27518, affecte Citrix ADC, un contrôleur de livraison d’applications, et Citrix Gateway, un outil d’accès à distance sécurisé. Citrix a fourni très peu de détails techniques sur la vulnérabilité, citant la nécessité de « protéger les clients contre les exploits », dans un billet de blog publié en même temps que son avis de sécurité. Le fournisseur a également déclaré que la vulnérabilité était activement exploitée.

Selon l’avis, cette nouvelle vulnérabilité pourrait permettre à un attaquant authentifié d’exécuter du code arbitraire à distance. Les clients disposant d’une version vulnérable de l’un ou l’autre produit avec une authentification fédérée SAML doivent immédiatement appliquer la mise à jour distribuée. Aucune solution d’atténuation n’est actuellement disponible.

Les versions affectées sont les suivantes :

• Citrix ADC et Citrix Gateway 13.0 avant 13.0-58.32
• Citrix ADC et Citrix Gateway 12.1 avant 12.1-65.25
• Citrix ADC 12.1-FIPS avant 12.1-55.291
• Citrix ADC 12.1-NDcPP avant 12.1-55.291

« Tous les clients utilisant les versions affectées doivent mettre à jour soit vers la version 12.1 actuelle (y compris les variantes FIPS et NDcPP), soit vers la version 13.0 actuelle (13.0-88.16) », a déclaré Peter Lefkowitz, responsable de la sécurité et de la confiance pour le Cloud Software Group de Citrix, dans le billet de blog. « Les clients utilisant une version affectée avec une configuration SAML SP ou IdP sont priés d’installer immédiatement la version actuelle. Alternativement, les clients peuvent effectuer une mise à niveau vers la version 13.1, qui n’est pas affectée ».

De son côté, l’agence américaine du renseignement, la NSA, a publié un avis de sécurité supplémentaire. Bien qu’également peu détaillé, il comporte des marqueurs techniques et des signatures YARA pour aider les clients Citrix à détecter les activités malveillantes.

En outre, l’avis de la NSA attribue l’activité offensive associée à APT5 (également connu sous le nom de Manganese), un acteur malveillant basé en Asie qui cible fréquemment les entreprises de télécommunications et qui est soupçonné d’avoir des liens avec la Chine.