Getty Images
Une vulnérabilité critique exploitée par les pirates depuis août, qui leur permet de contourner l’authentification multifacteur dans le matériel réseau Citrix, a reçu un correctif du fabricant. Malheureusement, son application ne suffit pas à protéger les systèmes concernés.
La vulnérabilité, identifiée comme CVE-2023-4966 et portant un indice de gravité de 9,8 sur 10 possibles, réside dans NetScaler Application Delivery Controller et NetScaler Gateway, qui assurent respectivement l’équilibrage de charge et l’authentification unique dans les réseaux d’entreprise. Issue d’une faille dans une fonction actuellement inconnue, la vulnérabilité de divulgation d’informations peut être exploitée afin que les pirates puissent intercepter les communications cryptées passant entre les appareils. La vulnérabilité peut être exploitée à distance et sans intervention humaine, même lorsque les attaquants ne disposent d’aucun privilège système sur un système vulnérable.
Citrix a publié un correctif pour la vulnérabilité la semaine dernière, accompagné d’un avis fournissant peu de détails. Mercredi, des chercheurs de la société de sécurité Mandiant ont déclaré que la vulnérabilité était activement exploitée depuis août, peut-être à des fins d’espionnage contre des services professionnels, des technologies et des organisations gouvernementales. Mandiant a averti que la correction de la vulnérabilité n’était pas suffisante pour verrouiller les réseaux concernés, car toute session détournée avant la mise à jour de sécurité persisterait par la suite.
La société a écrit :
Une exploitation réussie pourrait permettre de détourner les sessions authentifiées existantes, contournant ainsi l’authentification multifacteur ou d’autres exigences d’authentification forte. Ces sessions peuvent persister après le déploiement de la mise à jour visant à atténuer CVE-2023-4966. De plus, nous avons observé des détournements de session dans lesquels les données de session étaient volées avant le déploiement du correctif, puis utilisées par un acteur malveillant.
Le détournement de session authentifiée pourrait alors entraîner un accès en aval supplémentaire en fonction des autorisations et de l’étendue de l’accès autorisées à l’identité ou à la session. Un acteur malveillant pourrait utiliser cette méthode pour collecter des informations d’identification supplémentaires, pivoter latéralement et accéder à des ressources supplémentaires au sein d’un environnement.
Mandiant a fourni des conseils en matière de sécurité qui vont bien au-delà des conseils fournis par Citrix. Spécifiquement:
• Isolez les appliances NetScaler ADC et Gateway pour tester et préparer le déploiement des correctifs.
Remarque : Si les appliances vulnérables ne peuvent pas être prioritaires pour l’application des correctifs, Mandiant recommande que des restrictions d’adresse IP d’entrée soient appliquées aux appliances afin de limiter l’exposition et la surface d’attaque jusqu’à ce que les correctifs nécessaires aient été appliqués.
• Mettez à niveau les appliances NetScaler ADC et Gateway vulnérables vers les dernières versions du micrologiciel, ce qui atténue la vulnérabilité.
• Après la mise à niveau, mettez fin à toutes les sessions actives et persistantes (par appliance).
– Connectez-vous à l’appliance NetScaler à l’aide de la CLI.
• Pour mettre fin à toutes les sessions actives, exécutez la commande suivante :
kill aaa session -all• Pour effacer les sessions persistantes sur les équilibreurs de charge NetScaler, exécutez la commande suivante (où est le nom du serveur/appliance virtuel) :
clear lb persistentSessions• Pour effacer les sessions ICA existantes, exécutez la commande suivante :
kill icaconnection -all• Rotation des titres de compétences
– En raison du manque d’enregistrements de journaux disponibles ou d’autres artefacts d’activité d’exploitation, par mesure de précaution, les organisations doivent envisager de alterner les informations d’identification pour les identités qui ont été fournies pour accéder aux ressources via un NetScaler ADC ou une appliance Gateway vulnérable.
– S’il existe des preuves d’activités suspectes ou de mouvements latéraux au sein d’un environnement, les organisations doivent donner la priorité à la rotation des informations d’identification pour un plus grand nombre d’identités si l’accès à distance par authentification à facteur unique (SFA) est autorisé pour toutes les ressources provenant d’Internet.
• Si des shells Web ou des portes dérobées sont identifiés sur les appliances NetScaler, Mandiant recommande de reconstruire les appliances à l’aide d’une image source propre, incluant le dernier micrologiciel.
Remarque : Si une restauration d’une appliance est requise à l’aide d’une image de sauvegarde, la configuration de la sauvegarde doit être revue pour garantir qu’il n’y a aucune preuve de porte dérobée.
• Si possible, réduisez l’exposition aux attaques externes et la surface d’attaque des appliances NetScaler en limitant l’accès entrant aux seules plages d’adresses IP sources fiables ou prédéfinies.
Ces conseils sont justifiés compte tenu des antécédents d’exploitation antérieure des vulnérabilités critiques de Citrix. Par exemple, Citrix a divulgué et publié un correctif pour une vulnérabilité 9.8 distincte le 18 juillet. Trois jours plus tard, selon les analyses Internet réalisées par l’organisation de sécurité Shadowserver, plus de 18 000 instances n’avaient pas encore appliqué la mise à jour critique.
À ce moment-là, selon la Cybersecurity and Infrastructure Security Administration des États-Unis, la vulnérabilité était déjà activement exploitée. Au cours des semaines suivantes, Shadowserver et les sociétés de sécurité F-Secure et IBM Security Intelligence ont suivi des milliers d’exploitations utilisées à des fins de vol d’informations d’identification.
Les conseils de Mandiant se résument à ceci : si votre organisation utilise NetScaler ADC ou NetScaler Gateway sur site, vous devez supposer qu’il a été piraté et suivre les conseils fournis. Et oui, cela inclut d’abord les correctifs.