Il s’agit maintenant ou jamais d’empêcher vos serveurs d’entreprise d’utiliser des versions vulnérables de la distribution Citrix afin d’empêcher toutes attaques distantss.
Pourquoi l’urgence? Plus tôt dans la journée, plusieurs groupes ont rendu public un code d’exploitation [ 1 , 2 ] pour l’exécution d’un code à distance récemment révélée dans les produits NetScaler ADC et Gateway de Citrix qui pourrait permettre à quiconque de les exploiter pour prendre le contrôle total des cibles potentielles de l’entreprise .
Juste avant les dernières fêtes de Noël et de fin d’année, Citrix a annoncé que son Citrix Application Delivery Controller (ADC) et Citrix Gateway présenté une faille (CVE-2019-19781) qui pourrait permettre à un attaquant non authentifié l’exécution d’un code arbitraire sur des serveurs vulnérables.
Citrix a confirmé que la faille affecte toutes les versions prises en charge du logiciel, notamment:
- Citrix ADC et Citrix Gateway version 13.0
- Citrix ADC et NetScaler Gateway version 12.1 t
- Citrix ADC et NetScaler Gateway version 12.0
- Citrix ADC et NetScaler Gateway version 11.1
- Citrix NetScaler ADC et NetScaler Gateway version 10.5
La société a fait la divulgation sans publier de correctifs de sécurité pour les logiciels vulnérables; à la place, Citrix a proposé des mesures d’ atténuation pour aider les administrateurs à protéger leurs serveurs contre d’éventuelles attaques à distanceâ – et même au moment de la rédaction, aucun correctif n’est disponible, près de 23 jours après la divulgation.
Des cyberattaques contre des serveurs vulnérables ont été vues pour la première fois la semaine dernière lorsque des pirates ont développé un exploit privé. La publication de PoC faciliterait désormais le lancement de cyberattaques contre des organisations vulnérables par des script kiddies peu qualifiés.
Selon Shodan , au moment de la rédaction, il existe plus de 125 400 serveurs Citrix ADC ou Gateway accessibles au public et peuvent être exploités du jour au lendemain s’ils sont ni mis hors ligne ni protégés à l’aide de mesures d’atténuation disponibles par la company.
Tout en discutant des détails techniques de la faille, dans un article de blog publié hier, MDSsec a également publié une démonstration vidéo de l’exploit qu’ils ont développé, mais a choisi de ne pas le publier pour le moment.
En plus d’appliquer l’atténuation recommandée, les administrateurs Citrix ADC sont également invités à surveiller les journaux de leur appareil pour détecter les attaques.
