Citrix a publié des correctifs pour combler une vulnérabilité du logiciel ADC activement exploitée par des attaquants.
La vulnérabilité, identifiée CVE-2019-19781, affecte Citrix Application Delivery Controller (ADC) – anciennement connu sous le nom de NetScaler ADC – et Citrix Gateway, anciennement connu sous le nom de NetScaler Gateway, ainsi que Citrix SD-WAN WANOP.
“La portée de cette vulnérabilité inclut Citrix ADC et Citrix Gateway Virtual Appliances (VPX) hébergées sur l’un des Citrix Hypervisor (anciennement XenServer), ESX, Hyper-V, KVM, Azure, AWS, GCP ou sur un Citrix ADC Service Delivery Appliance ( SDX) “, précise la société. “Une enquête plus approfondie de Citrix a montré que ce problème affecte également certains déploiements de Citrix SDWAN, en particulier Citrix SDWAN WANOP edition. Citrix SDWAN WANOP edition met en package Citrix ADC en tant que load balancer, ce qui le rend donc egalement vulnerable. ”
Divulguée le 17 décembre avec un score CVSS de 9,8, cette vulnérabilité critique peut être utilisée pour lancer des attaques d’exécution de code arbitraire sans avoir besoin d’authentification.
publicité
Un patch bienvenu
Au moment de sa révélation, la faille de sécurité n’avait aucun correctif disponible et on pensait que jusqu’à 80 000 organisations dans 159 pays étaient exposées selon Mikhail Klyuchnikov de Positive Technologies, qui a initialement signalé le problème.
Citrix a recommandé des mesures d’atténuation jusqu’à ce qu’un correctif soit disponible.
Citrix ADC et Citrix Gateway version 13.0, Citrix ADC et NetScaler Gateway version 12.1, Citrix ADC et NetScaler Gateway version 12.0, Citrix ADC et NetScaler Gateway version 11.1 et Citrix NetScaler ADC et NetScaler Gateway version 10.5, toutes les versions prises en charge, sont affectées, au coté des versions 10.2.6 et 11.0.3 du produit SD-WAN WANOP.
Il n’a pas fallu longtemps aux attaquants pour commencer à rechercher sur Internet des instances Citrix vulnérables. Au cours de la première semaine du mois de janvier, les honeypots ont révélé un pic dans les analyses Citrix, et le 11 janvier, le code d’exploitation a été rendu public sur GitHub, ce qui a considérablement simplifié l’attaque des machines vulnérables.
Selon FireEye, un attaquant dissimulé via Tor a également déployé un logiciel malveillant baptisé NotRobin sur des instances vulnérables.
Chronologie des correctifs
Cela a incité Citrix à publier une chronologie des patch à venir, avec des correctifs attendus pour les versions 13 et 12.1 le 27 janvier; 10,5 au 31 janvier et 12 et 11,1 le 20 janvier.
Les correctifs pour les versions ADC 12 et 11.1 sont arrivés un jour plus tôt. Dans un avis de sécurité, la société de logiciels a exhorté les clients à installer “immédiatement” les correctifs, notant que si plusieurs versions d’ADC sont utilisées, les administrateurs informatiques doivent garder un œil sur les correctifs publiés pour différentes versions.
“Ces correctifs s’appliquent également à Citrix ADC et Citrix Gateway Virtual Appliances (VPX) hébergés sur n’importe lequel des ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP ou sur un Citrix ADC Service Delivery Appliance (SDX). SVM sur SDX n’a pas besoin d’être mis à jour “, a déclaré Citrix. “Il est nécessaire de mettre à niveau toutes les instances Citrix ADC et Citrix Gateway 11.1 (MPX ou VPX) vers la version 11.1.63.15 afin d’installer les correctifs de vulnérabilité de sécurité. Il est nécessaire de mettre à niveau toutes les instances Citrix ADC et Citrix Gateway 12.0 (MPX ou VPX) vers la build 12.0.63.13 pour installer les correctifs de vulnérabilité de sécurité. ”
De plus, Citrix a réduit le temps d’attente pour que les correctifs corrigent le bug dans d’autres versions. Les correctifs Citrix ADC pour les versions 12.1, 13 et 10.5 sont désormais attendus le 24 janvier, et un correctif WANOP Citrix SD-WAN est également attendu le même jour.
Citrix a également fourni un outil de vérification permettant aux administrateurs informatiques de vérifier que les correctifs ont été appliqués correctement.
Source : ZDNet.com
Commentaires