Citrix a émis une alerte critique appelant à une action immédiate pour installer les mises à jour de certains modèles de ses produits Application Delivery Controller (ADC) et Gateway après la découverte d’une vulnérabilité du jour zéro permettant aux cybercriminels de contourner les contrôles d’authentification.
« Citrix exhorte vivement les clients concernés de Citrix ADC et Citrix Gateway à installer les versions mises à jour pertinentes de Citrix ADC ou Citrix Gateway dès que possible », indique l’alerte. « Des exploitations de ce problème sur des appareils non corrigés ont été signalées. »
Par ailleurs, la National Security Agency (NSA) des États-Unis a publié un avis contenant des conseils de détection et d’atténuation pour les outils exploités par cybercriminel qui se concentre sur l’exploitation de ces deux produits.
L’exploit, CVE-2022-27518, est décrit comme permettant l’exécution de code arbitraire à distance non authentifié. Cela affecte les produits gérés par les clients suivants :
- Citrix ADC et Citrix Gateway 13.0 antérieurs à 13.0-58.32
- Citrix ADC et Citrix Gateway 12.1 antérieurs à 12.1-65.25
- Citrix ADC 12.1-FIPS antérieurs à 12.1-55.291
- Citrix ADC 12.1-NDcPP antérieurs à 12.1-55.291
Les environnements informatiques dotés de services infonuagiques gérés par Citrix ou d’une authentification adaptative gérée par Citrix n’ont rien à faire. Citrix ADC et Citrix Gateway version 13.1 ne sont pas affectés.
Pour être vulnérables, les appareils doivent être configurés pour utiliser le langage SAML (Security Assertion Markup Language) pour une connexion unique, soit SAML SP (Service Provider) ou SAML IdP (Identity Provider). Les administrateurs doivent inspecter le fichier ns.config pour voir si la ligne « add authentication samlAction » ou « add authentication samlIdPProfile » est présente dans les appareils concernés. Si c’est le cas, ils doivent être mis à jour.
Dans son avis, la NSA a déclaré qu’un cybercriminel connu des chercheurs en sécurité sous le nom d’APT5, UNC2630 ou Manganese s’en prend aux produits Citrix ADC et Gateway.
Pour se protéger, elle recommande aux administrateurs Citrix de vérifier les exécutables clés ou les fichiers binaires, tels que nsppe, nsaaad, nsconf, nsreadfile et nsconmsg par rapport à des copies fiables de ceux-ci pour confirmer l’intégrité des fichiers.
« Un cybercriminel permettant un accès continu [à un environnement informatique] nécessitera probablement une modification des fichiers binaires légitimes », explique l’avis.
La NSA recommande également aux organisations de prendre des copies de support technique programmés et/ou des instantanés de leur environnement d’exécution et de les stocker dans un emplacement hors ligne ou autrement immuable pour créer un historique des systèmes. Ces sauvegardes peuvent être utilisées pour comparer des instances en cours d’exécution ou pour reconstruire des événements si une activité suspecte est identifiée, indique-t-elle.
L’avis recommande également aux administrateurs de tirer parti des mécanismes de journalisation externes pour tous les journaux système afin de rechercher les comportements suspects. Par exemple, ce cybercriminel est connu pour tirer parti des outils qui exécutent « pb_policy ». Il apparaîtra dans les journaux sans être lié à une activité attendue de l’administrateur.
L’avis comprend des signatures Yara qui peuvent être utilisées pour détecter les logiciels malveillants utilisés par le cybercriminel dans le cadre de cette attaque.
Si une activité suspecte est détectée, toutes les instances de Citrix ADC doivent être déplacées derrière un VPN ou un autre dispositif qui nécessite une authentification utilisateur valide (idéalement multifacteur) avant de pouvoir accéder à l’ADC, indique la NSA. Isolez les appareils Citrix ADC de l’environnement pour vous assurer que toute activité malveillante est contenue. Restaurez ensuite Citrix ADC à son état original.
Adaptation et traduction française par Renaud Larue-Langlois.
