Citrix NetScaler ADC et Gateway : retour urgent à la case patch

Les administrateurs de systèmes Citrix NetScaler ADC et Gateway peuvent activement engager leurs procédures d’application de correctifs. 

Citrix vient en effet de dévoiler l’existence d’une vulnérabilité critique affectant ces systèmes et déjà exploitée dans le cadre de cyberattaques. Référencée CVE-2023-3519, elle permet de forcer l’exécution de code arbitraire à distance sur les systèmes affectés, et sans authentification préalable. 

Cela rappelle la vulnérabilité CVE-2019-19781, dite « Shitrix », qui avait fait les gros titres début 2020. Elle avait continué à faire parler d’elle bien après, comme plusieurs autres vulnérabilités nécessitant plus que l’application du correctif, et plus encore si celle-ci n’est pas réalisée urgemment. La vulnérabilité « shitrix » a notamment été exploitée pour l’intrusion initiale sur le système d’information de Dassault Falcon Jet, nous avaient indiqué les attaquants, du groupe Ragnar Locker. C’était près d’un an après sa révélation. 

Plusieurs victimes de ransomware ayant exposé des systèmes affectés par la CVE-2019-19781 ont été identifiées par le passé : Chubb, Conduent et Pitney Bowes, par Maze, mais aussi ISS World, touché par Ryuk, ou encore Bretagne Telecom, par DoppelPaymer, de même que Enel et Honda.

La nouvelle CVE-2023-3519 concerne les systèmes NetScaler Gateway et ADC configurés en passerelle (VPN virtual server, ICA proxy, CVPN, RDP proxy) ou serveur virtuel d’authentification (AAA). 

Sont concernés les systèmes NetScaler ADC et NetScaler Gateway 13.1 avant 13.1-49.13, NetScaler ADC etNetScaler Gateway 13.0 avant 13.0-91.13, ainsi que NetScaler ADC 13.1-FIPS avant 13.1-37.159, NetScaler ADC 12.1-FIPS avant 12.1-55.297, et NetScaler ADC 12.1-NDcPP avant 12.1-55.297.

Dans sa note d’alerte, Citrix précise NetScaler ADC et NetScaler Gateway version 12.1, en fin de vie, sont également affectés par la vulnérabilité. Pour tous les produits concernés, il recommande l’application des correctifs disponibles et, le cas échéant, la mise à niveau vers une version supportée. 

Sur Twitter, Florian Roth, directeur de la recherche et du développement de Nextron Systems, est sévère avec la communication de Citrix. Non seulement déplore-t-il l’absence d’indicateurs de compromission alors que la vulnérabilité est déjà exploitée, mais aussi que l’intéressé dit « en fait que les acteurs de la menace vont l'exploiter pendant un certain temps et que les systèmes doivent être corrigés et que tout ira bien... ce qui est un mensonge ». Et cela, relève-t-il, car « nous avons vu cela si souvent dans le passé : les clients ont installé les correctifs, mais les appareils étaient déjà compromis ».

En fait, une liste d’indicateurs est diffusée sous le sceau du TLP:AMBER « mentionnant un webshell PHP, un binaire SetUID, et une adresse IP, mais personne ne les partage avec le public ». Et cela bien qu’il ne soit pas possible d’en dériver un démonstrateur d’exploitation (PoC) : « ça m’énerve que personne ne les partage », conclut Florian Roth. 

Manuel Winkel, fondateur de Deyda Consulting, spécialiste des technologies Citrix, a par la suite publié un billet de blog contenant les instructions à suivre pour déterminer s'il y a eu compromission ou pas des instances affectées.