Siarhei/stock.adobe.com
Vulnérabilité Citrix : les correctifs arrivent, trop tard pour certains ?
L’éditeur vient d’entamer la distribution des correctifs pour ses équipements Netscaler ADC/Gateway. Mais l’exploitation a commencé, et pas forcément de manière très rassurante.
Citrix a vient de commencer la distribution de correctifs pour la vulnérabilité CVE-2019-19781 désormais connue pour affecter les équipements Citrix ADC/Netscaler et Gateway/Netscaler Gateway, jusqu’à permettre d’en prendre le contrôle et d’y dérober des données, dont certaines particulièrement sensibles, liées à l’authentification. Mais il a parallèlement mis à jour sa notice d’information révélant son produit SD-WAN WANOP est également concerné, et que les mesures préventives préconisées ne fonctionnent pas sur certaines versions de Citrix ADC 12.1. Dans le même temps, des attaques ont été observées, empêchant l’exploitation ultérieure de la vulnérabilité, tout en déposant une porte dérobée.
Les premiers correctifs pour la vulnérabilité ont donc été publiés plus tôt que prévu. Les rustines pour les versions 11.1 et 12.0 de Citrix ADC, qui s'appliquent également à Citrix Gateway, sont actuellement disponibles. Les correctifs pour SD-WAN WANOP et les versions supplémentaires d'ADC sont quant à eux attendus pour le 24 janvier.
Fermin Serna, RSSI de Citrix, explique à nos confrères de SearchSecurity.com (groupe TechTarget), pour quelle raison est survenue la mise à jour de la note d’information : « la vulnérabilité découverte dans Citrix SD-WAN est la même que celle identifiée dans Citrix Gateway. Elle a été découverte lorsque nous avons réalisé qu'une ancienne version de notre appliance SD-WAN appelée WANOP embarque un équilibreur de charge [NetScaler] par défaut et se trouve donc affectée ».
Quant à Citrix ADC 12.1, les builds antérieures à 51.16/51.19 et 50.31 « présentait un défaut qui empêche les politiques de réponse de prendre effet dans les vServers VPN ». Las, les mesures préventives recommandées s’appuient sur ces politiques. Dès lors, si « le parc d’un client n'a pas été mis à jour avec des versions ultérieures, ces mesures ne seront pas efficaces. Nous voulions signaler ce défaut pour nous assurer que nos clients NS 12.1 ne courent pas de risque, simplement parce qu'ils n'ont pas effectué la mise à jour vers le 51.16/51.19/50.31 ou une version ultérieure ».
Attaques NOTROBIN (Hood)
De nombreuses attaques, ou au moins tentatives d’attaque, ont déjà été observées. Mais William Ballenthin, responsable de la rétro-ingénierie chez FireEye, et son collègue Josh Madeley, consultant principal, ont découvert des attaques particulièrement intrigantes sur les systèmes de clients, utilisant un code qu'ils ont nommé NOTROBIN.
Dans un billet de blog, ils décrivent leur découverte : « en accédant à un dispositif NetScaler vulnérable, cet acteur nettoie les maliciels connus et déploie NOTROBIN pour bloquer les tentatives d'exploitation ultérieures. Mais tout n'est pas comme il y paraît, car NOTROBIN maintient un accès par porte dérobée. FireEye pense que cet acteur pourrait tranquillement collecter l'accès aux dispositifs NetScaler pour une campagne ultérieure ». Les intentions de l'attaquant NOTROBIN ne sont pas claires, mais le fait qu’il conserve un accès détourné aux systèmes représente un risque évident.
William Ballenthin indique que FireEye a observé « plus d'une douzaine d'organisations » concernées par les activités de NOTROBIN et que le premier déploiement du code a eu lieu le 12 janvier. La reconnaissance contre les produits Citrix vulnérables a commencé le 7 janvier, mais FireEye ne peut pas confirmer qu'il s'agissait du même acteur.
Pour autant, les tentatives d’exploitation sont loin d’avoir cessé ou d’être isolées : « pour un seul système, nous avons observé une douzaine de tentatives d'exploitation ratées. Je pense que la plupart d'entre elles auraient réussi si NOTROBIN ne les avait pas bloquées ».