Découverte d’une faille exploitant la CVE-2023-4966.

Une faille de sécurité critique sur l’environnement Citrix a été publiée le 10 octobre 2023 concernant NetScaler ADC et NetScaler Gateway.
Une mise à jour a été effectuée le 20 novembre pour y apporter plus de précisions.

Cette vulnérabilité permet à un attaquant d’exploiter les équipements Citrix Netscaler ADC et Netscaler Gateway configurés en tant que passerelle, serveur virtuel VPN, Proxy ICA, CVPN, Proxy RDP ou serveur virtuel AAA. Il s’agit de la CVE-2023-4966.

Le groupe de ransomware LockBit attaque activement les équipements vulnérables.

Produits affectés :

  • NetScaler ADC et NetScaler Gateway versions 14.1.x antérieures à 14.1-8.50
  • NetScaler ADC et NetScaler Gateway versions 13.1.x antérieures à 13.1-49.15
  • NetScaler ADC et NetScaler Gateway versions 13.0.x antérieures à 13.0-92.19
  • NetScaler ADC 13.1-FIPS versions antérieures à 13.1-37.164
  • NetScaler ADC 12.1-FIPS versions antérieures à 12.1-55.300
  • NetScaler ADC 12.1-NDcPP versions antérieures à 12.1-55.300
Citrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsolètes.

Potentielles conséquences :

– Exécution de code à distance
– Atteinte de données confidentielles

Remédiation :

Mettre à jour dès que possible vos équipements cités ci-dessus.
Après avoir mis à jour vos équipements, ITrust vous recommande de supprimer toutes les sessions actives ou persistantes en utilisant les commandes suivantes :

kill aaa session -all
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
clear lb persistentSessions

Investiguez sur des potentielles traces de compromission :
Veuillez vérifier si des sessions effectuent des actions anormales dans votre réseau, notamment liées aux bureaux virtuels, si vous les avez configurés.
Vérifiez les logs liés à “SSLVPN TCPCONNSTAT” contenant des champs ‘Client_ip’ et
‘Source’ différents. Veuillez noter que ceci n’est pas forcément une action illégitime.

Recommandations complémentaires :

Utilisez les dispositifs de sécurité du SI : SIEMEDR ou contactez votre prestataire de supervision de votre cybersécurité (SOC managé).

> Ne pas laissez ce type de services exposés et sans protection. ITrust vous propose des outils pour détecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.

> Scannez régulièrement votre réseau, afin de détecter les failles de sécurité et les correctifs à appliquer. Notre scanner de vulnérabilité IKare, disponible en version d’essai gratuite, permet de détecter les nouvelles failles de sécurité.

Si vous avez besoin d’aide pour corriger ces failles, appelez nous. (05.67.34.67.80)

*Sources :
https://cybersecuritynews.com/citrix-netscaler-zero-day-exploited/
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-012/

NetScaler investigation recommendations for CVE-2023-4966