Les administrateurs d’appareils Citrix NetScaler sont invités à installer un correctif publié cette semaine pour résoudre une vulnérabilité d’injection de code critique dans les produits Application Delivery Controller (ADC) et Gateway de la société.
L’avertissement (en anglais) provient de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, qui affirme que des cybercriminels ont exploité la vulnérabilité du jour zéro (CVE-2023-3519) pour déposer un « webshell » générique dans l’environnement de non-production d’une organisation d’infrastructure critique dont le nom n’a pas été dévoilé.
Le webshell a permis aux pirates de rechercher et d’exfiltrer des données Active Directory (AD). Les cybercriminels ont tenté de se déplacer latéralement vers un contrôleur de domaine, mais les contrôles de segmentation du réseau de l’appareil ont bloqué le mouvement, selon la CISA.
Les produits touchés sont :
- NetScaler ADC et NetScaler Gateway 13.1 antérieur à 13.1-49.13
- NetScaler ADC et NetScaler Gateway 13.0 antérieur à t 13.0-91.13
- NetScaler ADC et NetScaler Gateway version 12.1, désormais en fin de vie
- NetScaler ADC 13.1-FIPS antérieur à 13.1-37.159
- NetScaler ADC 12 .1-FIPS antérieur à 12.1-65.36
- NetScaler ADC 12.1-NDcPP antérieur à 12.65.36
L’appareil concerné doit être configuré en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou serveur virtuel d’authentification, d’autorisation et d’audit (AAA) pour l’exploitation.
L’avertissement contient également des détails sur les techniques utilisées par l’attaquant.
Via le webshell, l’attaquant a consulté les fichiers de configuration de NetScaler /flash/nsconfig/keys/updated/* et /nsconfig/ns.conf. Ces fichiers de configuration contiennent un mot de passe chiffré qui peut être déchiffré par la clé stockée sur l’appareil ADC. Ils ont également consulté les clés de déchiffrement NetScaler (pour déchiffrer les informations d’identification AD à partir du fichier de configuration) et ont utilisé les informations d’identification AD déchiffrées pour interroger l’AD via ldapsearch. Les données découvertes ont ensuite été cryptées et compressées dans un fichier zip pour exfiltration.
Les autres activités de découverte du pirate ont échoué en raison du déploiement par l’organisation d’infrastructure critique de son appareil NetScaler ADC dans un environnement segmenté.
Les tentatives de déplacement latéral post-exploitation des cybercriminels ont également été bloquées par des contrôles de segmentation du réseau, indique le rapport. Les pirates ont implanté un deuxième webshell sur la cible qu’ils ont ensuite retiré. Il s’agissait probablement d’un shell PHP avec une capacité de proxy, théorise le rapport. Les pirates l’ont probablement utilisé pour tenter de transmettre par proxy le trafic SMB au contrôleur de domaine ; le rapport note que l’organisation victime a observé des connexions SMB où les cybercriminels ont tenté d’utiliser les informations d’identification AD précédemment déchiffrées pour s’authentifier auprès du contrôleur de domaine à partir de NetScaler ADC via une machine virtuelle. Le pare-feu et les restrictions de compte — seuls certains comptes internes pouvaient s’authentifier auprès du DC — ont bloqué cette activité.
En plus d’installer le correctif, les administrateurs doivent également rechercher des signes indiquant que la vulnérabilité a été exploitée. Si une compromission est détectée, le service informatique doit mettre en quarantaine ou mettre hors ligne les hôtes potentiellement affectés, réimager les hôtes compromis et fournir de nouvelles informations d’identification de compte.
Adaptation et traduction française par Renaud Larue-Langlois.
