De nombreux serveurs Citrix ADC et Gateway restent vulnérables aux failles de haute gravité qui auraient été corrigées par la société il y a des semaines, ont affirmé des experts.
Début novembre 2022, Citrix a découvert et corrigé une faille « Accès non autorisé aux capacités utilisateur de la passerelle », suivie depuis sous le nom de CVE-2022-27510. Affectant les deux produits, il permet à un attaquant d’obtenir un accès autorisé aux terminaux cibles (s’ouvre dans un nouvel onglet)prendre le contrôle des appareils à distance et contourner la protection de connexion par force brute de l’appareil.
Environ un mois plus tard, à la mi-décembre, la société a corrigé une faille «d’exécution de code arbitraire à distance non authentifiée», suivie depuis sous le nom de CVE-2022-27518. Celui-ci permet aux pirates d’exécuter à distance du code malveillant sur le terminal cible.
Avertissement de la NSA
Les deux ont un score de gravité de 9,8/10, et au moins l’un d’entre eux a été abusé dans la nature comme un jour zéro, affirment les chercheurs de l’équipe informatique Fox du groupe NCC.
En fait, la National Security Agency (NSA) des États-Unis a averti début décembre qu’un collectif de piratage soutenu par l’État chinois exploitait cette dernière vulnérabilité comme une faille de sécurité zero-day.
À l’époque, dans un article de blog officiel, Peter Lefkowitz, responsable de la sécurité et de la confiance chez Citrix, affirmait que « des exploits limités de cette vulnérabilité avaient été signalés », mais n’avait pas précisé le nombre d’attaques ni les industries impliquées.
Parfois appelé manganèse, ce groupe d’acteurs malveillants a apparemment explicitement ciblé les réseaux exécutant ces applications Citrix pour percer la sécurité organisationnelle sans avoir à dérober d’abord des informations d’identification via des attaques d’ingénierie sociale et de phishing.
Les chercheurs ont également déclaré que si la majorité des terminaux avaient été corrigés depuis la publication des correctifs, il existe des « milliers » de serveurs vulnérables. Au 11 novembre 2022, au moins 28 000 serveurs Citrix étaient à risque.
« Nous espérons que ce blog créera une prise de conscience supplémentaire pour ces deux Citrix CVE et que nos recherches sur l’identification des versions contribueront aux études futures », ont conclu les chercheurs.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)