Les serveurs Citrix exposés à une faille critique de cybersécurité, que faire en cas d’attaque ?

Une faille identifiée comme critique.

Les administrateurs système et les professionnels de la cybersécurité ont dernièrement été confrontés à une situation de crise extrêmement grave.

Plusieurs milliers de serveurs Citrix NetScaler ADC et NetScaler Gateway, anciennement connus sous le nom de Citrix ADC et Citrix Gateway, ont été exposés sur Internet à la suite d’une faille de sécurité CVE-2023-3519.

L’équipement devient vulnérable s’il est configuré en tant que passerelle (Gateway ; VPN virtuel server, ICA Proxy, CVPN, RDP Proxy) ou en tant que serveur virtuel AAA (AAA virtual server).

Cette vulnérabilité critique permet à un attaquant non authentifié d’exécuter du code à distance sur le serveur, entraînant potentiellement une compromission complète de la structure.

Avec un score CVSS de 9.8 sur 10, la gravité de cette faille ne peut être sous-estimée.

Au moins 15 000 appliances touchées.

Selon les chercheurs en sécurité de la Shadowserver Foundation, au moins 15 000 serveurs sont vulnérables à cette faille. Cette vulnérabilité est d’autant plus alarmante que la suppression des informations de version dans les révisions récentes de Citrix masque la présence de versions plus récentes, qui restent néanmoins vulnérables.

Ce nombre de 15 000 appliances n’est donc malheureusement que le minimum.

Dans une communication officielle, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a souligné la menace sérieuse que représentent ces vulnérabilités pour les équipements configurés en tant que passerelle ou serveur virtuel. Les impacts potentiels incluent l’espionnage, le vol de données sensibles et l’indisponibilité des services.

Afin de remédier à cette situation critique, il est impératif que les administrateurs suivent ces recommandations :

• Appliquer immédiatement les dernières mises à jour de sécurité publiées par Citrix ;
• Effectuer une recherche minutieuse pour détecter toute trace d’exploitation des vulnérabilités sur les systèmes concernés.

Retour d’expérience ORNISEC et bonnes pratiques

Les experts ORNISEC ont été confrontés à ce genre d’attaque sur les vulnérabilités Citrix avec une tentative d’exploitation de la vulnérabilité CVE-2023-3519.

Il est important de respecter un schéma d’actions précis afin d’apporter une réponse à incident adéquate que ce soit avant, pendant ou après l’attaque :

• Une veille de sécurité/détection des menaces
• La prise de mesures urgentes
• Une analyse de l’attaque
• Le traitement post incident
• Un bilan détaillé et un plan d’action

En post incident, il est nécessaire de réaliser une évaluation de l’impact (qualité des données, confiance SI), puis de réaliser une enquête pour identifier le vecteur d’attaque (archivage des traces, production et propagation de l’incident).

A partir de ces informations, un plan d’action est élaboré afin de limiter l’attaque et de viser un retour à une situation normale. Il s’agit ensuite d’exécuter et de piloter les actions mises en place. Enfin, une communication interne et externe doit être réalisée.

Dans le cas de l’intervention des experts ORNISEC sur l’incident, ces derniers ont pu retracer au mieux le parcours de l’attaquant en réalisant une analyse des logs.

Il a été constaté qu’une fois la vulnérabilité Citrix connue, des scans extérieurs ont été effectués. Une première tentative de récupération de fichiers et de mots de passe a eu lieu. La détection par le CERT d’une tentative d’exploitation et la réponse immédiate ont permis la perte de l’exploit déposé par l’attaquant.

Par la suite, une nouvelle exploitation de la RCE et le déploiement d’un keylogger, afin de récupérer des identifiants d’utilisateurs, ont été identifiés.

Réagir rapidement et répondre efficacement à l’attaque.

Heureusement, l’intervention rapide et la coupure du service Citrix ont permis d’endiguer la menace. Finalement, les différentes analyses montrent que l’attaquant n’a pas dumpé la base LSA, SAM ou NTDS au niveau du DC. Même si la vulnérabilité Citrix a été exploitée, l’attaquant n’a pas pu rebondir au niveau du réseau interne. ­­

Afin de répondre efficacement à cet incident, un plan d’action a été mis en place. Il consiste à :

• Un durcissement de Citrix
• Un renforcement de cloisonnement
• Au déploiement d’un EDR au niveau de toutes les machines, Linux comprises.
• La mise en place d’un processus de gestion d’incident
• Du renforcement du Maintien en condition de sécurité
• A la formation pour l’utilisation des fonctionnalités du Firewall.

Des questions concernant la vulnérabilité ? Un besoin d’audit de vos systèmes ? N’hésitez pas à contacter nos experts, nous ne manquerons pas de vous répondre dans les plus brefs délais.