Exploit Citrix Bleed : Protégez vos comptes NetScaler
Récemment, le monde de la technologie s'est mis à parler d'un risque de sécurité potentiel connu sous le nom de vulnérabilité "Citrix Bleed", officiellement désignée sous le nom de CVE-2023-4966. Cette vulnérabilité affecte les appliances Citrix NetScaler ADC et NetScaler Gateway et pourrait constituer une menace importante pour votre sécurité en ligne.
Vulnérabilité Citrix Bleed : Ce qu'il faut savoir
CVE-2023-4966 est une vulnérabilité de gravité critique qui a été découverte puis corrigée par Citrix le 10 octobre. Cependant, l'entreprise est restée assez discrète sur les détails de la faille. Ce n'est que le 17 octobre que Mandiant, une société de cybersécurité, a révélé que cette vulnérabilité avait déjà été exploitée en tant que zero-day dans des attaques limitées depuis la fin du mois d'août 2023.
Citrix a depuis émis un avertissement aux administrateurs qui supervisent les appliances NetScaler ADC et Gateway, leur demandant d'appliquer le correctif dès que possible car les attaquants ciblent de plus en plus cette vulnérabilité.
En quoi consiste donc la faille Citrix Bleed ? En termes simples, il s'agit d'une faille de sécurité qui permet aux attaquants de s'emparer des cookies de session d'authentification des appliances vulnérables Citrix NetScaler ADC et NetScaler Gateway. Ces appareils sont essentiels pour diverses fonctions de réseau, notamment l'équilibrage de la charge, la protection par pare-feu, la gestion du trafic, le VPN et l'authentification de l'utilisateur.
La vulnérabilité en action
Les chercheurs d'Assetnote ont approfondi la faille CVE-2023-4966 et ont même publié un exploit de type "preuve de concept" (PoC) pour faire la lumière sur le problème et aider les amateurs de sécurité à tester l'exposition.
Voici comment fonctionne la vulnérabilité : Dans la version non corrigée (13.1-48.47) de NetScaler, il y a une fonction qui génère une charge utile JSON pour la configuration OpenID. Cette fonction ne dispose pas de contrôles appropriés, ce qui peut conduire à une lecture excessive de la mémoire tampon si elle est exploitée. Cependant, la version corrigée (13.1-49.15) garantit qu'une réponse ne sera envoyée que si certaines conditions sont remplies.
En utilisant cette vulnérabilité, les attaquants peuvent manipuler l'en-tête HTTP Host pour insérer un nom d'hôte dans la charge utile à plusieurs reprises, ce qui amène le point de terminaison à répondre avec le contenu de la mémoire tampon et la mémoire adjacente. Cela peut révéler des informations sensibles, notamment un cookie de session d'une longueur de 32 à 65 octets.
Les implications
Si un pirate réussit à s'emparer d'un cookie de session, il peut potentiellement détourner des comptes d'utilisateurs et obtenir un accès illimité à des appareils vulnérables. Il s'agit évidemment d'une grave préoccupation, en particulier pour les entreprises et les organisations qui s'appuient sur les dispositifs Citrix NetScaler pour la sécurité de leur réseau.
Maintenant que l'exploit CVE-2023-4966 est publiquement disponible, les cybercriminels devraient cibler davantage les dispositifs Citrix NetScaler pour tenter d'obtenir un accès initial aux réseaux d'entreprise. Le service de surveillance des menaces Shadowserver a déjà signalé une augmentation des tentatives d'exploitation suite à la publication du PoC d'Assetnote, de sorte que l'activité malveillante est déjà en cours.
Protéger vos systèmes contre le saignement de Citrix
Étant donné que les vulnérabilités telles que Citrix Bleed sont couramment exploitées pour des attaques de ransomware et de vol de données, il est essentiel que les administrateurs système agissent rapidement. Si vous êtes responsable des appliances Citrix NetScaler ADC et Gateway, veillez à déployer les correctifs fournis par Citrix dès que possible. Cette mesure proactive peut s'avérer très utile pour protéger votre réseau et vos données contre les menaces potentielles. Restez en sécurité en ligne !
Découvrez comment vous remettre d'une attaque de ransomware dans ce guide complet.
La source de cette histoire est disponible sur Bleeping Computer.