Citrix NetScaler : est-ce grave ?

Identifiée sous le nom de CVE-2023-4966 (CVSS score : 9.4), la vulnérabilité affecte les versions supportées suivantes –

Cependant, pour qu’elle soit exploitée, il faut que l’appareil soit configuré comme une passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou un serveur virtuel d’autorisation et de comptabilité (AAA).

Alors que les correctifs pour la faille ont été publiés le 10 octobre 2023, Citrix a maintenant révisé l’avis pour noter que « des exploits de CVE-2023-4966 sur des appareils non atténués ont été observés ».

Dans sa propre alerte publiée mardi, Mandiant, qui appartient à Google, a déclaré avoir identifié une exploitation de la vulnérabilité au jour zéro dans la nature à partir de la fin août 2023.

« Une exploitation réussie pourrait permettre de détourner des sessions authentifiées existantes, contournant ainsi l’authentification multifactorielle ou d’autres exigences d’authentification forte », a déclaré la société de renseignement sur les menaces.

« Ces sessions peuvent persister après le déploiement de la mise à jour visant à atténuer les effets de la CVE-2023-4966.

Mandiant a également déclaré avoir détecté un détournement de session où les données de session ont été volées avant le déploiement du correctif et utilisées par la suite par un acteur de menace non spécifié.

« Le détournement de la session authentifiée pourrait alors entraîner d’autres accès en aval en fonction des autorisations et de l’étendue de l’accès que l’identité ou la session a été autorisée », a ajouté l’entreprise.

« Un acteur de la menace pourrait utiliser cette méthode pour collecter des informations d’identification supplémentaires, pivoter latéralement et accéder à des ressources supplémentaires au sein d’un environnement.
L’acteur de la menace à l’origine des attaques n’a pas été identifié, mais la campagne aurait ciblé des organisations de services professionnels, de technologie et de gouvernement. À la lumière de l’abus actif de la faille et des bogues Citrix devenant un paratonnerre pour les acteurs de la menace, il est impératif que les utilisateurs agissent rapidement pour mettre à jour leurs instances à la dernière version afin d’atténuer les menaces potentielles. « Les organisations ne doivent pas se contenter d’appliquer le correctif, elles doivent également mettre fin à toutes les sessions actives », a déclaré Charles Carmakal, directeur technique de Mandiant. « Bien qu’il ne s’agisse pas d’une vulnérabilité d’exécution de code à distance, il convient de donner la priorité au déploiement de ce correctif compte tenu de l’exploitation active et de la criticité de la vulnérabilité. »