Citrix : le dernier 0day activement exploité depuis août selon Mandiant

La semaine dernière, Citrix a corrigé deux vulnérabilités, identifiées CVE-2023-4966 et CVE-2023-4967, qui affectaient plusieurs versions de NetScaler ADC (anciennement Citrix ADC) et NetScaler Gateway (anciennement Citrix Gateway). Dans un billet de blog, Mandiant a révélé avoir observé une exploitation de la vulnérabilité CVE-2023-4966 de manière inédite, ou 0day, à partir de la fin du mois d’août contre des organisations technologiques et gouvernementales.

L’exploitation réussie de la CVE-2023-4966, qui a reçu un score CVSS de 9,4, pourrait permettre aux attaquants de « détourner des sessions authentifiées existantes, contournant ainsi l’authentification à facteurs multiples (MFA) ou d’autres exigences d’authentification forte ». 

Qui plus est, « ces sessions peuvent persister après le déploiement de la mise à jour disponible pour la CVE-2023-4966 », souligne Mandiant dans le billet de blog. Et justement : « nous avons observé des détournements de session où les données de session ont été volées avant le déploiement du correctif, puis utilisées par un acteur malveillant. Le détournement de la session authentifiée pourrait alors entraîner un accès ultérieur basé sur les permissions et l’étendue de l’accès accordées à l’identité ou la session détournée ». Citrix a mis à jour son bulletin de sécurité initial avec l’avertissement d’exploitation active. 

Parallèlement, Charles Carmakal, directeur technique de Mandiant, a abordé la menace actuelle dans une déclaration sur LinkedIn : bien que CVE-2023-4966 ne soit pas une vulnérabilité permettant l’exécution de code à distance, Charles Carmakal exhorte les utilisateurs à donner la priorité aux correctifs « compte tenu de l’exploitation active et de la criticité de la vulnérabilité ». 

Il a également fourni des mesures d’atténuation supplémentaires pour se défendre contre les attaques potentielles en contournement de MFA : « les organisations ne doivent pas se contenter d’appliquer le correctif, elles doivent également mettre fin à toutes les sessions actives. Ces sessions authentifiées persisteront après le déploiement de la mise à jour visant à atténuer la CVE-2023-4966. Par conséquent, même après l’application du correctif, un acteur menaçant pourrait utiliser les données de session volées pour s’authentifier auprès des ressources jusqu’à ce que les sessions soient terminées ». 

L’exploitation observée de la CVE-2023-4966 n’est pas ouvertement attribuée à ce jour. Pour l’heure, la piste du cyberespionnage est considérée. Mais même si elle s’avérait correcte, la vulnérabilité pourrait attirer l’intérêt de groupes à la motivation purement crapuleuse.