Les administrateurs prévenus de corriger les appareils NetScaler

Les administrateurs d’appareils Citrix NetScaler sont invités à installer un correctif publié cette semaine pour résoudre une vulnérabilité d’injection de code critique dans les produits Application Delivery Controller (ADC) et Gateway de la société.

L’avertissement (en anglais) provient de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, qui affirme que des cybercriminels ont exploité la vulnérabilité du jour zéro (CVE-2023-3519) pour déposer un « webshell » générique dans l’environnement de non-production d’une organisation d’infrastructure critique dont le nom n’a pas été dévoilé.

Le webshell a permis aux pirates de rechercher et d’exfiltrer des données Active Directory (AD). Les cybercriminels ont tenté de se déplacer latéralement vers un contrôleur de domaine, mais les contrôles de segmentation du réseau de l’appareil ont bloqué le mouvement, selon la CISA.

Les produits touchés sont :

  • NetScaler ADC et NetScaler Gateway 13.1 antérieur à 13.1-49.13
  • NetScaler ADC et NetScaler Gateway 13.0 antérieur à t 13.0-91.13
  • NetScaler ADC et NetScaler Gateway version 12.1, désormais en fin de vie
  • NetScaler ADC 13.1-FIPS antérieur à 13.1-37.159
  • NetScaler ADC 12 .1-FIPS antérieur à 12.1-65.36
  • NetScaler ADC 12.1-NDcPP antérieur à 12.65.36

L’appareil concerné doit être configuré en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou serveur virtuel d’authentification, d’autorisation et d’audit (AAA) pour l’exploitation.

L’avertissement contient également des détails sur les techniques utilisées par l’attaquant.

Via le webshell, l’attaquant a consulté les fichiers de configuration de NetScaler /flash/nsconfig/keys/updated/* et /nsconfig/ns.conf. Ces fichiers de configuration contiennent un mot de passe chiffré qui peut être déchiffré par la clé stockée sur l’appareil ADC. Ils ont également consulté les clés de déchiffrement NetScaler (pour déchiffrer les informations d’identification AD à partir du fichier de configuration) et ont utilisé les informations d’identification AD déchiffrées pour interroger l’AD via ldapsearch. Les données découvertes ont ensuite été cryptées et compressées dans un fichier zip pour exfiltration.

Les autres activités de découverte du pirate ont échoué en raison du déploiement par l’organisation d’infrastructure critique de son appareil NetScaler ADC dans un environnement segmenté.

Les tentatives de déplacement latéral post-exploitation des cybercriminels ont également été bloquées par des contrôles de segmentation du réseau, indique le rapport. Les pirates ont implanté un deuxième webshell sur la cible qu’ils ont ensuite retiré. Il s’agissait probablement d’un shell PHP avec une capacité de proxy, théorise le rapport. Les pirates l’ont probablement utilisé pour tenter de transmettre par proxy le trafic SMB au contrôleur de domaine ; le rapport note que l’organisation victime a observé des connexions SMB où les cybercriminels ont tenté d’utiliser les informations d’identification AD précédemment déchiffrées pour s’authentifier auprès du contrôleur de domaine à partir de NetScaler ADC via une machine virtuelle. Le pare-feu et les restrictions de compte — seuls certains comptes internes pouvaient s’authentifier auprès du DC — ont bloqué cette activité.

En plus d’installer le correctif, les administrateurs doivent également rechercher des signes indiquant que la vulnérabilité a été exploitée. Si une compromission est détectée, le service informatique doit mettre en quarantaine ou mettre hors ligne les hôtes potentiellement affectés, réimager les hôtes compromis et fournir de nouvelles informations d’identification de compte.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Un groupe canadien reçoit 2,2 millions de dollars pour la recherche sur la détection des menaces par l’IA pour les réseaux sans fil

Un groupe composé de chercheurs universitaires canadiens et d'Ericsson Canada vient d’obtenir un financement public dans le cadre de la National Cybersecurity Coalition pour des recherches avancées sur la lutte contre les cybermenaces.

AWS re:Invent attire l’attention, avec l’infonuagique, la cybersécurité et l’IA au centre des préoccupations commerciales

Alors que sa conférence re:Invent s'ouvre cette semaine à Las Vegas, AWS fera valoir qu'elle joue également un rôle de premier plan dans la transformation qui se situe au carrefour de l'intelligence artificielle, de l’infonuagique et de la cybersécurité.

KPMG et Microsoft lancent un Centre de développement des compétences en gestion des risques opérationnels

KPMG au Canada et Microsoft Canada annoncent aujourd’hui le lancement du Centre de développement des compétences en gestion des risques opérationnels. Fort d’un investissement de 1,7 M$ sur trois ans, il sera établi au Québec, rejoignant le Centre d'excellence canadien en cybersécurité de KPMG.

De nombreuses organisations ne pensent pas être la cible de gangs de rançongiciel, selon une enquête d’OpenText

De nombreuses organisations s'inquiètent des rançongiciels mais ne pensent toujours pas qu'elles en sont une cible, selon une enquête publiée mercredi par OpenText.

Sommet canadien des télécommunications : l’IA conduit la fraude téléphonique à de nouveaux sommets

Lors du 22e Sommet canadien des télécommunications, la société Hiya de Seattle a dévoilé l'état de fraude téléphonique au Canada, et la façon dont l'augmentation de l'IA générative aggrave le problème.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.