Citrix NetScaler ADC, Gateway : de nouvelles vulnérabilités inédites exploitées

Les produits NetScaler ADC et NetScaler Gateway de Citrix sont à nouveau attaqués, en raison de deux nouvelles vulnérabilités inédites, des 0day, qui sont activement exploitées.

Ces vulnérabilités, référencées comme CVE-2023-6549 et CVE-2023-6548, ont été divulguées et corrigées mardi. CVE-2023-6549 est une vulnérabilité de déni de service de haute sévérité avec un score CVSS de 8.2, tandis que CVE-2023-6548 est une vulnérabilité de sévérité moyenne avec un score CVSS de 5.5 qui permet à un attaquant authentifié d’exécuter du code à distance sur les interfaces de gestion.

Dans un avis de sécurité, Citrix a averti que des exploits ont été observés dans la nature. L’éditeur de logiciels « recommande vivement » à ses clients d’appliquer immédiatement les mises à jour pour toutes les versions concernées, notamment les suivantes :

• NetScaler ADC et NetScaler Gateway 14.1 avant 14.1-12.35.
• NetScaler ADC et NetScaler Gateway 13.1 avant 13.1-51.15.
• NetScaler ADC et NetScaler Gateway 13.0 avant 13.0-92.21.
• NetScaler ADC 13.1-FIPS avant 13.1-37.176.
• NetScaler ADC 12.1-FIPS avant 12.1-55.302.
• NetScaler ADC 12.1-NDcPP avant 12.1-55.302.

Le Cloud Software Group de Citrix recommande également « fortement que le trafic réseau vers l’interface de gestion de l’appliance soit séparé, physiquement ou logiquement, du trafic réseau normal ».

Les produits NetScaler ADC et NetScaler Gateway ont été attaqués l’année dernière via une vulnérabilité inédite connue sous le nom de Citrix Bleed. Référencée CVE-2023-4966, cette vulnérabilité critique a été divulguée et corrigée pour la première fois le 10 octobre. Cependant, Mandiant a rapporté la semaine suivante que la vulnérabilité, qui peut être exploitée pour détourner des sessions existantes, avait été exploitée dans la nature depuis le mois d’août.

Les attaques exploitant Citrix Bleed se sont multipliées au cours de l’année, divers acteurs profitant de la vulnérabilité. Par exemple, le célèbre et prolifique gang du ransomware LockBit a exploité la faille contre plusieurs organisations, dont le géant de l’aérospatiale Boeing.

Les dernières vulnérabilités de type « zero-day » ne semblent pas être aussi dangereuses, selon les ingénieurs de recherche de Tenable Satnam Narang et Scott Caveza. « L’impact de ces deux nouvelles vulnérabilités ne devrait pas être aussi important que celui de CitrixBleed », ont-ils écrit dans un billet de blog. « Néanmoins, les organisations qui utilisent ces appareils dans leurs réseaux devraient appliquer les correctifs disponibles dès que possible », conseillent-ils.

Les chercheurs ont également déclaré que, bien qu’aucun démonstrateur d’exploitation n’ait encore été rendu public, ils s’attendent à ce qu’un code malveillant soit bientôt disponible, en se basant sur l’activité entourant les vulnérabilités inédites, ainsi que sur l’historique de l’exploitation des vulnérabilités de NetScaler ADC et de NetScaler Gateway.