Alerte émise de mettre à jour les appareils Citrix ADC et Gateway

Citrix a émis une alerte critique appelant à une action immédiate pour installer les mises à jour de certains modèles de ses produits Application Delivery Controller (ADC) et Gateway après la découverte d’une vulnérabilité du jour zéro permettant aux cybercriminels de contourner les contrôles d’authentification.

« Citrix exhorte vivement les clients concernés de Citrix ADC et Citrix Gateway à installer les versions mises à jour pertinentes de Citrix ADC ou Citrix Gateway dès que possible », indique l’alerte. « Des exploitations de ce problème sur des appareils non corrigés ont été signalées. »

Par ailleurs, la National Security Agency (NSA) des États-Unis a publié un avis contenant des conseils de détection et d’atténuation pour les outils exploités par cybercriminel qui se concentre sur l’exploitation de ces deux produits.

L’exploit, CVE-2022-27518, est décrit comme permettant l’exécution de code arbitraire à distance non authentifié. Cela affecte les produits gérés par les clients suivants :

  • Citrix ADC et Citrix Gateway 13.0 antérieurs à 13.0-58.32
  • Citrix ADC et Citrix Gateway 12.1 antérieurs à 12.1-65.25
  • Citrix ADC 12.1-FIPS antérieurs à 12.1-55.291
  • Citrix ADC 12.1-NDcPP antérieurs à 12.1-55.291

Les environnements informatiques dotés de services infonuagiques gérés par Citrix ou d’une authentification adaptative gérée par Citrix n’ont rien à faire. Citrix ADC et Citrix Gateway version 13.1 ne sont pas affectés.

Pour être vulnérables, les appareils doivent être configurés pour utiliser le langage SAML (Security Assertion Markup Language) pour une connexion unique, soit SAML SP (Service Provider) ou SAML IdP (Identity Provider). Les administrateurs doivent inspecter le fichier ns.config pour voir si la ligne « add authentication samlAction » ou « add authentication samlIdPProfile » est présente dans les appareils concernés. Si c’est le cas, ils doivent être mis à jour.

Dans son avis, la NSA a déclaré qu’un cybercriminel connu des chercheurs en sécurité sous le nom d’APT5, UNC2630 ou Manganese s’en prend aux produits Citrix ADC et Gateway.

Pour se protéger, elle recommande aux administrateurs Citrix de vérifier les exécutables clés ou les fichiers binaires, tels que nsppe, nsaaad, nsconf, nsreadfile et nsconmsg par rapport à des copies fiables de ceux-ci pour confirmer l’intégrité des fichiers.

« Un cybercriminel permettant un accès continu [à un environnement informatique] nécessitera probablement une modification des fichiers binaires légitimes », explique l’avis.

La NSA recommande également aux organisations de prendre des copies de support technique programmés et/ou des instantanés de leur environnement d’exécution et de les stocker dans un emplacement hors ligne ou autrement immuable pour créer un historique des systèmes. Ces sauvegardes peuvent être utilisées pour comparer des instances en cours d’exécution ou pour reconstruire des événements si une activité suspecte est identifiée, indique-t-elle.

L’avis recommande également aux administrateurs de tirer parti des mécanismes de journalisation externes pour tous les journaux système afin de rechercher les comportements suspects. Par exemple, ce cybercriminel est connu pour tirer parti des outils qui exécutent « pb_policy ». Il apparaîtra dans les journaux sans être lié à une activité attendue de l’administrateur.

L’avis comprend des signatures Yara qui peuvent être utilisées pour détecter les logiciels malveillants utilisés par le cybercriminel dans le cadre de cette attaque.

Si une activité suspecte est détectée, toutes les instances de Citrix ADC doivent être déplacées derrière un VPN ou un autre dispositif qui nécessite une authentification utilisateur valide (idéalement multifacteur) avant de pouvoir accéder à l’ADC, indique la NSA. Isolez les appareils Citrix ADC de l’environnement pour vous assurer que toute activité malveillante est contenue. Restaurez ensuite Citrix ADC à son état original.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Les administrateurs invités à corriger rapidement les failles du serveur de transfert de fichiers WS_FTP

Un autre ensemble de vulnérabilités critiques a été découvert dans une application de transfert de fichiers, ce qui fait craindre que, si elle est exploitée avant d'être corrigée, il entraînera également un grand nombre de violations de données.

Le Centre pour la cybersécurité émet une mise en garde après qu’un groupe indien eut lancé une menace

L'autorité cybernétique du gouvernement canadien a émis un avertissement aux administrateurs informatiques du pays pour qu'ils surveillent les attaques, après qu'un groupe ou un individu prétendant être originaire de l'Inde eut émis une menace de représailles à la suite d’allégations selon lesquelles l'Inde aurait pu être à l'origine de l'assassinat d'un Canadien militant en faveur d'un État sikh indépendant.

Le CCC lance une alerte après les attaques DDoS visant le gouvernement

Des attaques par déni de service distribué contre les sites Web des ministères fédéraux et de plusieurs provinces et territoires canadiens, dont l'Île-du-Prince-Édouard, le Yukon, la Saskatchewan et le Manitoba, ont incité l'agence fédérale de cybersécurité à émettre une alerte informatique.

Les utilisateurs d’Apple sont avisés par des chercheurs de l’Université de Toronto de mettre à jour leurs appareils en raison d’un logiciel espion

La semaine dernière, le Citizen Lab de l'Université de Toronto a découvert une vulnérabilité « activement exploitée » dans les appareils iPhone pour diffuser le logiciel espion mercenaire Pegasus du gang NSO, sans aucune interaction de la victime.

Corrigez ces vulnérabilités dans des produits VMware et Cisco

Les administrateurs de VMware et de certains appareils de Cisco Systems sont prévenus d'installer des correctifs dès que possible pour corriger des vulnérabilités graves.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.