Des failles de Citrix permettent le vol de données

Plusieurs vulnérabilités dans Citrix Application Delivery Controller (ADC) et Gateway permettraient des attaques d’injection de code, de divulgation d’informations et de déni de service, a annoncé le fournisseur de réseau. Quatre des failles de sécurité sont exploitables par un attaquant distant non authentifié.

Les produits Citrix (anciennement NetScaler ADC et Gateway) sont utilisés pour la gestion du trafic sensible d’applications et l’accès distant sécurisé. Ces produits sont installés dans au moins 80 000 entreprises dans 158 pays différents, selon une étude de Positive Technologies au mois de décembre 2019.

D’autres failles affectent également les appareils Citrix SD-WAN WANOP, plus spécialement les modèles 4000-WO, 4100-WO, 5000-WO et 5100-WO.

Les attaques sur l’interface de gestion des produits pourraient entraîner la compromission du système par un utilisateur non authentifié sur le réseau de gestion; ou une compromission du système par le biais de scripts intersites (XSS). Les attaquants pourraient également créer un lien de téléchargement pour l’appareil qui, s’il est téléchargé puis exécuté par un utilisateur non authentifié sur le réseau de gestion, pourrait entraîner la compromission d’un ordinateur local.

«Les clients qui ont configuré leurs systèmes conformément aux recommandations de Citrix [c’est-à-dire que cette interface est séparée du réseau et protégée par un pare-feu] ont considérablement réduit leur risque d’être attaqué sur l’interface de gestion», selon le fournisseur.

citrix

Les cybercriminels pourraient également lancer des attaques sur les adresses IP virtuelles (VIP). Les VIP, entre autres, sont utilisés pour fournir aux utilisateurs une adresse IP unique pour communiquer avec les ressources réseau pour les applications qui n’autorisent pas plusieurs connexions ou plusieurs utilisateurs sur la même adresse IP.

Les attaques VIP incluent le déni de service contre la passerelle ou les serveurs virtuels d’authentification par un utilisateur non authentifié; ou l’analyse à distance des ports du réseau interne par un utilisateur Citrix Gateway authentifié.

«Les attaquants peuvent uniquement savoir si une connexion TLS est possible avec le port et ne peuvent pas communiquer avec les périphériques finaux», selon le rapport de Citrix. «Les clients qui n’ont activé ni la passerelle ni les serveurs virtuels d’authentification ne courent aucun risque d’attaques applicables à ces serveurs. D’autres serveurs virtuels, par exemple les serveurs virtuels de répartition de charge et de commutation de contenu ne sont pas concernés par ces problèmes. »

Une dernière vulnérabilité a été trouvée dans Citrix Gateway Plug-in pour Linux qui permettrait à un utilisateur local connecté d’un système Linux avec ce plug-in installé d’élever ses privilèges à un compte d’administrateur sur cet ordinateur, a déclaré la société.

Sur les 11 vulnérabilités, il existe six voies d’attaques possibles, mais cinq d’entre elles ont des obstacles à l’exploitation. De plus, les derniers correctifs résolvent entièrement tous les problèmes. Voici une liste complète des failles de sécurité avec leurs barrières d’exploitation:

citrix

Étant donné que Citrix est principalement utilisé pour donner un accès à distance aux applications dans les réseaux internes des entreprises, un compromis pourrait facilement être utilisé comme point d’ancrage pour se déplacer latéralement dans une organisation victime. Cependant, le Responsable de la sécurité des systèmes d’information de Citrix, Fermin Serna, a déclaré dans un article que la société n’était pas au courant d’une exploitation active des failles et il a souligné que les obstacles à l’exploitation de ces failles étaient importants.

«Il y a des obstacles à bon nombre de ces attaques; en particulier, pour les clients où il n’y a pas de trafic non fiable sur le réseau de gestion, le risque restant se réduit à une attaque par déni de service », écrit-il. «Et dans ce cas, uniquement lorsque des serveurs virtuels de passerelle ou d’authentification sont utilisés. Les autres serveurs virtuels, par exemple la répartition de charge et les serveurs virtuels de commutation de contenu, ne sont pas concernés par le problème. »

Il a ajouté: «trois attaques possibles nécessitent une forme d’accès existante. Cela signifie effectivement qu’un acteur malveillant externe devrait d’abord obtenir un accès non autorisé à un appareil vulnérable pour pouvoir mener une attaque. »

Aucun lien avec les failles précédentes de Citrix

Serna a également noté que les failles n’étaient pas liées à la faille critique CVE-2019-19781 dans Citrix ADC et Gateway, annoncée en Décembre 2019. Cette faille zero-day n’avait pas été corrigée pendant près d’un mois et des individus malveillants en avaient profité.