Des cybercriminels effectuent des analyses pour trouver les serveurs Citrix vulnérables à une faille de sécurité critique dans les produits ADC et Gateway, selon des chercheurs en sécurité.
Divulguée en décembre, cette vulnérabilité grave, identifiée comme CVE-2019-19781, affecte le Citrix Application Delivery Controller (ADC) – également connu sous le nom de NetScaler ADC – aux côtés de Citrix Gateway, anciennement NetScaler Gateway. Initialement signalée par Mikhail Klyuchnikov de Positive Technologies, la vulnérabilité permet une traversée du répertoire et, si elle est exploitée, permet aux attaquants d’exécuter du code malveillant à distance.
publicité
Selon un avis de sécurité Citrix, ces produits sont affectés:
Citrix ADC et Citrix Gateway version 13.0 toutes les versions supportées
Citrix ADC et NetScaler Gateway version 12.1 toutes les versions supportées
Citrix ADC et NetScaler Gateway version 12.0 toutes les versions supportées
Citrix ADC et NetScaler Gateway version 11.1 toutes les versions supportées
Citrix NetScaler ADC et NetScaler Gateway version 10.5 toutes les versions supportées
Les chercheurs ont estimé qu’au moins 80 000 organisations dans 158 pays sont des utilisateurs d’ADC et pourraient donc être à risque. Les entreprises impliquées sont principalement basées aux États-Unis – environ 38% – ainsi qu’au Royaume-Uni, en Allemagne, aux Pays-Bas et en Australie.
«En fonction de la configuration spécifique, les applications Citrix peuvent être utilisées [par des attaquants] pour se connecter aux postes de travail et aux systèmes d’entreprise critiques (y compris l’ERP)», explique Positive Technologies. «Dans presque tous les cas, les applications Citrix sont accessibles sur le périmètre du réseau de l’entreprise, et sont donc les premières à être attaquées. Cette vulnérabilité permet à un attaquant non autorisé d’accéder non seulement aux applications publiées, mais aussi d’attaquer d’autres ressources du réseau interne de l’entreprise à partir du Serveur Citrix. ”
Comme indiqué par Bleeping Computer, les chercheurs en cybersécurité ont détecté un pic dans les analyses des serveurs Citrix potentiellement vulnérables au bug.
Sur Twitter, le chercheur Kevin Beaumont a déclaré que l’un de ses honeypots avait révélé “des attaquants analysant à distance des fichiers de configuration d’informations d’identification sensibles en utilisant ../ traversée de répertoire (une variante de ce problème)”.
Il ne semble pas qu’un code d’exploitation public soit largement utilisé – du moins pas encore. Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a noté dans ses propres vérifications de honeypots que les analyses actuelles ne semblent en aucun cas être “sophistiquées”, certaines ne sont que des requêtes GET, mais a ajouté que “d’autres sources que je considère crédibles ont indiqué qu’ils étaient capables de créer un exploit d’exécution de code. ”
Un correctif n’a pas encore été publié pour le problème, mais Citrix a publié des conseils d’atténuation. La société recommande aux administrateurs informatiques d’exécuter un ensemble de commandes, accessible ici.
« Citrix exhorte les clients concernés à appliquer immédiatement les mesures d’atténuation fournies. Les clients doivent ensuite mettre à niveau toutes leurs appliances vulnérables vers une version fixe du firmware dès sa sortie», explique Citrix.
En mars de l’année dernière, Citrix a révélé une faille de sécurité causée par des informations d’identification de compte faibles. Des cybercriminels ont réussi à accéder à des réseaux internes d’entreprise et à télécharger des documents commerciaux confidentiels.
Source : ZDNet.com
留言