Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway

Risque(s)

- Exécution de code arbitraire à distance
- Atteinte à la confidentialité des données

Systèmes affectés

- NetScaler ADC et NetScaler Gateway versions 14.1.x antérieures à 14.1-8.50
- NetScaler ADC et NetScaler Gateway versions 13.1.x antérieures à  13.1-49.15
- NetScaler ADC et NetScaler Gateway versions 13.0.x antérieures à 13.0-92.19
- NetScaler ADC 13.1-FIPS versions antérieures à 13.1-37.164
- NetScaler ADC 12.1-FIPS versions antérieures à 12.1-55.300
- NetScaler ADC 12.1-NDcPP versions antérieures à 12.1-55.300

Citrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsolètes.

Résumé

Le 10 octobre 2023, Citrix a publié un avis de sécurité [1] concernant la vulnérabilité CVE-2023-4966 affectant NetScaler ADC et NetScaler Gateway. L'éditeur lui a donné un score de 9,4 et indiqué qu'elle permet une atteinte à la confidentialité des données.

Le 17 octobre 2023, Citrix a mis son avis à jour pour déclarer avoir connaissance d'exploitations actives de la vulnérabilité CVE-2023-4966.

Le même jour, Mandiant a publié un billet de blogue [2] dans lequel l'entreprise déclare avoir connaissance d'exploitations actives de cette vulnérabilité depuis fin août 2023. Mandiant précise que l’exploitation de cette vulnérabilité permet à l'attaquant de prendre le contrôle de sessions actives avec le niveau de privilèges des utilisateurs concernés. Cela permet de contourner l'authentification à multiples facteurs et le seul fait d'appliquer la mise à jour ne bloque pas l'accès à l'attaquant.

Sur la base des informations fournies par Mandiant dans son rapport (cf. le rapport détaillé référencé dans son billet [2]), le CERT-FR recommande de réaliser les actions suivantes :

- appliquer la mise à jour sans délai ;
- couper toutes les sessions existantes sans délai ;
- renouveler les mots de passe des comptes déclarés sur les passerelles vulnérables ;
- mener des investigations pour identifier les actions prises par un potentiel attaquant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- [1] Bulletin de sécurité Citrix CTX579459 du 10 octobre 2023
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
- Avis CERT-FR CERTFR-2023-AVI-0823 du 11 octobre 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0823/
- [2] Billet de blogue Mandiant du 17 octobre 2023
https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
- Les bons réflexes en cas d'intrusion sur un système d'information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
- Référence CVE CVE-2023-4966
https://www.cve.org/CVERecord?id=CVE-2023-4966

Dernière version de ce document:

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-012/