Les attaques Zero-Day ont exploité une vulnérabilité critique dans Citrix ADC et Gateway

19 juil. 2023THNVulnérabilité / Cybermenace

Citrix est alerter utilisateurs d’une faille de sécurité critique dans NetScaler Application Delivery Controller (ADC) et Gateway qui, selon lui, est activement exploitée dans la nature.

Suivi comme CVE-2023-3519 (score CVSS : 9,8), le problème concerne un cas de injection de code cela pourrait entraîner l’exécution de code à distance non authentifié. Cela impacte les versions suivantes –

• NetScaler ADC et NetScaler Gateway 13.1 avant 13.1-49.13
• NetScaler ADC et NetScaler Gateway 13.0 avant 13.0-91.13
• NetScaler ADC et NetScaler Gateway version 12.1 (actuellement en fin de vie)
• NetScaler ADC 13.1-FIPS avant 13.1-37.159
• NetScaler ADC 12.1-FIPS avant 12.1-55.297, et
• NetScaler ADC 12.1-NDcPP avant 12.1-55.297

La société n’a pas donné plus de détails sur la faille liée à CVE-2023-3519, si ce n’est pour dire que des exploits pour la faille ont été observés sur des “appareils non atténués”. Cependant, une exploitation réussie nécessite que l’appareil soit configuré en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou autorisation et comptabilité (AAA) serveur virtuel.

Parallèlement à CVE-2023-3519, deux autres bogues sont également abordés :

• CVE-2023-3466 (Score CVSS : 8,3) – Une vulnérabilité de validation d’entrée incorrecte entraînant une attaque de script intersite (XSS) réfléchie
• CVE-2023-3467 (Score CVSS : 8,0) – Une vulnérabilité de gestion des privilèges incorrecte entraînant une élévation des privilèges à l’administrateur racine (nsroot)

Wouter Rijkbost et Jorren Geurts de Resillion ont été crédités d’avoir signalé les bogues. Des correctifs ont été mis à disposition pour corriger les trois défauts dans les versions ci-dessous –

• NetScaler ADC et NetScaler Gateway 13.1-49.13 et versions ultérieures
• NetScaler ADC et NetScaler Gateway 13.0-91.13 et versions ultérieures de 13.0
• NetScaler ADC 13.1-FIPS 13.1-37.159 et versions ultérieures de 13.1-FIPS
• NetScaler ADC 12.1-FIPS 12.1-55.297 et versions ultérieures de 12.1-FIPS, et
• NetScaler ADC 12.1-NDcPP 12.1-55.297 et versions ultérieures de 12.1-NDcPP

Il est recommandé aux clients de NetScaler ADC et de NetScaler Gateway version 12.1 de mettre à niveau leurs appliances vers une version prise en charge pour atténuer les menaces potentielles.

Le développement intervient au milieu de l’exploitation active des failles de sécurité découvertes dans Adobe ColdFusion (CVE-2023-29298 et CVE-2023-38203) et le plugin WooCommerce Payments WordPress (CVE-2023-28121).

Laisser des failles de sécurité dans les plugins WordPress pourrait ouvrir la porte à un compromis complet, permettant aux acteurs de la menace de réutiliser les sites WordPress compromis pour d’autres activités malveillantes.

Le mois dernier, eSentire a dévoilé une campagne d’attaque baptisée Azote dans lequel des sites WordPress infectés ont été utilisés pour héberger des fichiers image ISO malveillants qui, une fois lancés, aboutissent au déploiement de fichiers DLL malveillants capables de contacter un serveur distant pour récupérer des charges utiles supplémentaires, notamment des scripts Python et Cobalt Strike.