[MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway
Alerte Cyber

[MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway

artia13 16 Views

Citrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsolètes.

Résumé

[Mise à jour du 22 novembre
2023]

L’éditeur a publié un document [3] le 20 novembre 2023 listant les
différents journaux à analyser ainsi que les éléments à rechercher pour
identifier une activité pouvant être liée à une compromission.

Par ailleurs, la CISA a publié un avis de sécurité le 21 novembre 2023
[4] indiquant que, comme anticipé le 24 octobre, des campagnes d’exploitation
massives sont en cours notamment pour le déploiement de rançongiciels.

Le CERT-FR rappelle que tout équipement
qui n’aurait pas été mis à jour doit être considéré comme compromis. Il
est impératif de réaliser des investigations sans délai [5] en
s’appuyant sur l’ensemble des recommandations fournies dans les
différentes publications [2][3][4].

[Mise à jour du 24 octobre 2023]
Des chercheurs ont publiés des détails techniques sur la
vulnérabilité ce jour. Le
CERT-FR anticipe l’apparition de codes d’exploitation publics suivie
d’une augmentation des tentatives d’exploitation de cette
vulnérabilité.

[Publication initiale]

Le 10 octobre 2023, Citrix a publié un avis de sécurité [1] concernant
la vulnérabilité CVE-2023-4966 affectant NetScaler ADC et NetScaler
Gateway. L’éditeur lui a donné un score de 9,4 et indiqué qu’elle permet
une atteinte à la confidentialité des données.

Le 17 octobre 2023, Citrix a mis son avis à jour pour déclarer avoir
connaissance d’exploitations actives de la vulnérabilité CVE-2023-4966.

Le même jour, Mandiant a publié un billet de blogue [2] dans lequel
l’entreprise déclare avoir connaissance d’exploitations actives de cette
vulnérabilité depuis fin août 2023.  Mandiant précise que l’exploitation
de cette vulnérabilité permet à l’attaquant de prendre le contrôle de
sessions actives avec le niveau de privilèges des utilisateurs
concernés. Cela permet de contourner l’authentification à multiples
facteurs et le seul fait d’appliquer la mise à jour ne bloque pas
l’accès à l’attaquant.

Sur la base des informations fournies par Mandiant dans son rapport (cf.
le rapport détaillé référencé dans son billet [2]), le CERT-FR
recommande de réaliser les actions suivantes :

  • appliquer la mise à jour sans délai ;
  • couper toutes les sessions existantes sans délai ;
  • renouveler les mots de passe des comptes déclarés sur les
    passerelles vulnérables ;
  • mener des investigations pour identifier les actions prises par un
    potentiel attaquant.

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.

artia13 has 4424 posts and counting. See all posts by artia13

Vous Aimerez Peut-être Aussi

Cisco – CVE-2025-20139 | Portail du CERT Santé

Cisco – CVE-2025-20139 | Portail du CERT Santé

artia13
L’Hôpital de Cannes victime d’une cyberattaque #shorts #cybersecurity #cyberattack

L’Hôpital de Cannes victime d’une cyberattaque #shorts #cybersecurity #cyberattack

artia13
Ce VPN suisse est l'un des plus sûrs et des plus rapides du marché pour le streaming !

Ce VPN suisse est l'un des plus sûrs et des plus rapides du marché pour le streaming !

artia13