Citrix patch finalement la vulnérabilité d’ADC et Gateway

Citrix distribue finalement des patchs de sécurité pour la faille critique dans les logiciels ADC et Gateway. Cette faille est activement exploitée par des hackers depuis que la compagnie a annoncé son existence sans avoir patché le problème.

Comme nous l’avions expliqué précédemment, la faille (CVE-2019-19781) est une vulnérabilité de type path traversal qui permet à des individus non-authentifiés d’exécuter du code arbitraire à distance sur plusieurs versions des produits Citrix ADC et Gateway, ainsi que sur deux anciennes versions de Citrix SD-WAN WANOP.

La faille de sécurité est décrite comme étant critique et a un score CVSS v3.1 de 9,8. Elle a été découverte par Mikhail Klyuchnikov, un chercheur en sécurité de Positive Technologies qui a alerté Citrix au début du mois de Décembre 2019. Cette vulnérabilité a mis en danger 80 000 compagnies présentes dans 158 pays différents.

Selon les configurations spécifiques, les applications Citrix peuvent être utilisées pour se connecter aux stations de travail et aux systèmes critiques (y compris ERP). Dans la plupart des cas, les applications Citrix sont accessibles aux bords du réseau de l’entreprise et sont donc les premières à être attaquées.

citrix

La vulnérabilité est activement exploitée par beaucoup de hackers depuis la semaine dernière à cause du partage de plusieurs codes d’exploits de preuves de concept.

Selon les experts en sécurité informatique, il y’a plus de 15 000 serveurs ADC et Gateway que les pirates peuvent exploiter pour infiltrer des réseaux d’entreprises.

Les experts de FireEye ont découvert une campagne d’attaque où un hacker compromettait les serveurs Citrix pour installer un payload nommé “NotRobin“. Ce payload scanne les systèmes à la recherche de cryptomineurs et de malware déployés par d’autres pirates et les supprime pour garder un accès exclusif au système avec une porte dérobée.

“Cet exploit cible les appareils NetScaler en utilisant CVE-2019-19781 pour exécuter des commandes shell sur les appareils compromis,” a déclaré FireEye.

“FireEye pense que le pirate responsable de NOTROBIN a saisi l’opportunité de compromettre des appareils NetScaler, surement pour préparer une autre campagne dans le futur. Ils retirent les autres malwares connu pour éviter de se faire détecter par les administrateurs.”

Planning du patch de Citrix

La semaine dernière Citrix a annoncé un planning, promettant de distribuer des mises à jour pour toutes les versions supportées des logiciels ADC et Gateway avant la fin du mois de Janvier 2020.

citrix

Pour son premier lot de mises à jour, Citrix a distribué des patchs permanents pour les versions 11.1 et 12.0 d’ADC qui s’appliquent aussi aux services ADC et Gateway VPX hébergés sur ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP ou sur un dispositif ADC Service Delivery Appliance (SDX).

“Il est nécessaire de mettre à jour toutes les instances de Citrix ADC et Gateway 11.1 (MPX ou VPX) vers la version 11.1.63.15 pour installer les patchs de sécurité. Il est nécessaire de mettreà jour toutes les instances de Citrix ADC et Gateway 12.0 (MPX ou VPX) vers la version 12.0.63.13 pour installer les patchs de sécurité,” a expliqué Citrix dans leur communiqué.

“Nous recommandons aux clients d’installer ces patchs immédiatement,” a dit la compagnie. “Si vous ne l’avez pas encore fait, vous devriez appliquer les mitigations fournies précédemment pour les versions 12.1, 13 et 10.5 d’ADC et les versions 10.2.6 et 11.0.3 de SD-WAN WANOP jusqu’à ce que les patchs de ces versions soient disponibles

La compagnie a aussi ajouté que les clients qui ont plusieurs versions d’ADC devront appliquer les patchs sur chaque système séparément.

En plus d’installer les patchs disponibles de versions supportées et d’appliquer la mitigation recommandé pour les systèmes non-patchés, les administrateurs de produits Citrix ADC doivent aussi garder un œil aux registres de leurs appareils pour vérifier si il n’y a pas eu d’attaque.

Si cet article vous a plu, jetez un œil à notre article précédent.