Bref historique de Citrix Bleed
Citrix Bleed, une vulnérabilité critique dans Citrix NetScaler®, a fait l'objet d'une couverture considérable dans les publications de l'industrie informatique. Ce billet présente le contexte de Citrix Bleed et explique pourquoi l'histoire continue d'être couverte des mois après la découverte de la vulnérabilité.
Découverte initiale et atténuation
Le 18 juillet 2023, Cloud Software Group (CSG), la société issue de la fusion de Citrix® et de TIBCO® en 2022, a annoncé trois vulnérabilités critiques découvertes dans NetScaler® ADC et NetScaler Gateway gérés par les clients sous la forme d'un bulletin de sécurité dans le Citrix Knowledge Center. Selon ce bulletin, la vulnérabilité la plus critique, CVE-2023-3519, a déjà été exploitée.
À l'époque, CSG a recommandé d'installer des versions mises à jour des logiciels NetScaler ADC et Gateway sur les appareils non mitigés et a également publié des mises à jour de sécurité, invitant les clients à appliquer les correctifs dès que possible.
Le 20 juillet 2023, la Cybersecurity and Infrastructure Security Agency (CISA), qui fait partie du Department of Homeland Security (DHS) des États-Unis, a publié un avis de cybersécurité reconnaissant que le CVE-2023-3519 avait été exploité contre une organisation d'infrastructure critique américaine en juin 2023 et signalé à la CISA en juillet. (REMARQUE : les identifiants CVE sont attribués par l'une des quelque 100 autorités de numérotation CVE (CNA) ; MITRE Corporation est l'éditeur et la CNA principale pour l'organisation).
Dans cet exploit, les pirates ont déposé un shell web (logiciel malveillant permettant d'accéder à distance à un serveur web) sur l'appliance NetScaler ADC de l'organisation. Cet acte a permis aux pirates de voler des données de l'Active Directory (AD) de l'organisation, y compris des informations sur les utilisateurs, les groupes, les applications et les appareils sur le réseau.
Heureusement, l'appliance visée était isolée au sein du réseau de l'organisation, de sorte que les pirates n'ont pas pu compromettre le contrôleur de domaine, qui fournit des services d'authentification et d'autorisation pour le domaine AD. L'organisation a pu repousser les pirates et limiter l'attaque.
À l'époque, la Shadowserver Foundation estimait que plus de 15 000 serveurs Citrix situés dans le monde entier risquaient d'être compromis si des correctifs n'étaient pas appliqués.
Evolution vers Citrix Bleed
Le 10 octobre 2023, CSG a divulgué une nouvelle vulnérabilité dans les dispositifs NetScaler ADC et NetScaler Gateway gérés par les clients. Cette vulnérabilité, qui porte l'identifiant CVE-2023-4966, a reçu le nom commun de Citrix Bleed, qui fait allusion à une célèbre vulnérabilité de 2014 appelée Heartbleed, qui a été largement exploitée et a permis aux pirates de voler des informations sensibles telles que des mots de passe, des clés de chiffrement et des informations d'identification bancaire.
Citrix Bleed permet à des attaquants distants non authentifiés d'extraire des données de la mémoire d'un dispositif NetScaler vulnérable, y compris des jetons de session sensibles. Il est alarmant de constater que l'exploitation de cette vulnérabilité est relativement simple et permet à un pirate de prendre le contrôle du réseau géré par le dispositif NetScaler et d'utiliser des jetons de session qui authentifient les demandes des utilisateurs et leur permettent d'accéder à leurs données sans avoir besoin d'un mot de passe ou d' utiliser l'authentification à deux facteurs.
CSG a publié des correctifs pour Citrix Bleed, mais le17 octobre, il a mis à jour son avis de sécurité pour révéler qu'il avait observé une exploitation sauvage, c'est-à-dire des preuves que la vulnérabilité était déjà exploitée dans de nombreuses organisations. En fait, certaines entreprises de cybersécurité ont détecté l'exploitation de la vulnérabilité dès la fin du mois d'août.
Les exploits Citrix Bleed sont probablement en cours
À l'heure où nous écrivons ces lignes, de nombreuses organisations importantes ont révélé des failles de sécurité rendues possibles par Citrix Bleed, notamment Boeing et Xfinity. Plusieurs groupes de menace travaillent activement à la poursuite de l'exploitation de Citrix Bleed afin d'acquérir des informations sensibles à vendre, à détenir contre rançon ou à exploiter dans le cadre d'une opération de collecte de renseignements. Et tant que ces groupes continueront à exploiter Citrix Bleed, les médias industriels continueront à couvrir les brèches qui en résultent.
Pourquoi ces groupes cherchent-ils encore à exploiter Citrix Bleed ? Comme indiqué ci-dessus, Citrix Bleed est facile à exploiter si une organisation a négligé d'appliquer le correctif approprié - mais, en plus d'appliquer le correctif, le service informatique doit également invalider les jetons de session actifs et persistants avant de redémarrer l'appareil. Cette invalidation empêche un pirate d'accéder à des jetons de session valides en mémoire et de les utiliser pour prendre le contrôle de sessions actives et accéder à des informations sensibles sur les utilisateurs.
Citrix Bleed étant si facile à exploiter, toute organisation utilisant NetScaler devrait supposer que son ou ses dispositifs ont été compromis, s'assurer que tous les correctifs appropriés ont été appliqués et que les jetons de session ont été invalidés. En outre, le service informatique doit examiner minutieusement tous les périphériques réseau et l'ensemble de l'infrastructure pour détecter tout signe de compromission - un certain nombre d'entreprises de sécurité ont publié gratuitement des conseils de sécurité détaillés pour les aider.
Quelle est la prochaine étape ?
Pour les clients de Citrix, en particulier ceux qui utilisent NetScaler dans leur infrastructure informatique, l'expérience de Citrix Bleed a été éprouvante. En conséquence, certains d'entre eux peuvent se demander si la récente acquisition et fusion de Citrix avec TIBCO n'a pas distrait l'équipe chargée des produits NetScaler et ralenti sa reconnaissance de plusieurs failles de sécurité critiques dans ses produits. Certains clients de Citrix/CSG peuvent se demander si d'autres éléments de l'infrastructure très complexe de Citrix/CSG ne sont pas menacés.
Si vous êtes un ISV ou un MSP qui réévalue son utilisation de Citrix pour fournir des applications Windows à ses clients, ou qui souhaite réduire la complexité de son infrastructure informatique pour l'utilisateur final, ou encore réduire ses coûts de fourniture d'applications Windows, pensez à GO-Global.
Avec la publication d'applications GO-Global, les applications Windows s'exécutent sur un serveur, qui peut être installé dans n'importe quel nuage public, privé ou hybride. GO-Global tire ensuite parti de l'infrastructure existante de vos services en nuage et des fonctions de sécurité et d'évolutivité pour fournir des fonctionnalités avancées avec moins de complexité, moins de coûts et moins de risques.
Pour les organisations soucieuses de la sécurité, GO-Global prend en charge l'authentification à deux facteurs et est la seule solution de publication d'applications Windows qui offre une prise en charge de l'authentification unique pour OpenID® Connect (OIDC), ce qui permet aux organisations d'utiliser des fournisseurs d'identité OIDC tels que Okta® et Microsoft® Active Directory Federated Services (ADFS) pour l'authentification unique dans les hôtes Windows de GO-Global.
Malgré son faible coût, GO-Global offre une évolutivité au niveau de l'entreprise, tout en étant facile à installer, à configurer et à utiliser, et en offrant une excellente expérience aux utilisateurs, notamment des connexions rapides et une latence minimale, même sur des connexions à faible bande passante.
Réduire la complexité. Réduire les coûts. Réduire les risques.
Obtenez GO-Global.
Pour en savoir plus, demandez une démonstration ici ou téléchargez une version d'essai gratuite de 30 jours.
