Des experts ont affirmé que de nombreux serveurs Citrix ADC et Gateway restent vulnérables à des failles de haute gravité qui auraient été corrigées par l’entreprise il y a plusieurs semaines.
Au début du mois de novembre 2022, Citrix a découvert et corrigé une faille intitulée « Accès non autorisé aux capacités des utilisateurs de Gateway », depuis lors répertoriée sous le nom de CVE-2022-27510. Affectant les deux produits, elle permet à un attaquant d’obtenir un accès autorisé aux terminaux cibles, de prendre le contrôle des appareils à distance et de contourner la protection de connexion par force brute de l’appareil.
Environ un mois plus tard, à la mi-décembre, la société a corrigé une faille d' »exécution de code arbitraire à distance non authentifiée », repérée depuis sous le nom de CVE-2022-27518. Celle-ci permet aux acteurs de la menace d’exécuter du code malveillant sur le terminal cible, à distance.
Avertissement de la NSA
Les deux failles ont une note de gravité de 9,8/10, et au moins l’une d’entre elles a été utilisée de manière abusive dans la nature en tant que jour zéro, selon les chercheurs de l’équipe Fox-IT de NCC Group.
En fait, l’Agence nationale de sécurité américaine (NSA) a averti début décembre qu’un collectif de pirates soutenu par l’État chinois exploitait cette dernière vulnérabilité en tant que faille de sécurité de type « zero-day ».
À l’époque, dans un billet de blog officiel, le responsable de la sécurité et de la confiance chez Citrix, Peter Lefkowitz, a affirmé que « des exploitations limitées de cette vulnérabilité ont été signalées », mais il n’a pas donné de précisions sur le nombre d’attaques ou les secteurs concernés.
Parfois appelé Manganese, ce groupe d’acteurs de la menace a apparemment ciblé explicitement les réseaux exécutant ces applications Citrix afin de percer la sécurité organisationnelle sans avoir à voler des informations d’identification via des attaques d’ingénierie sociale et de phishing.
Les chercheurs ont également déclaré que si la plupart des terminaux avaient été corrigés depuis la publication des correctifs, il existe des « milliers » de serveurs vulnérables. En date du 11 novembre 2022, au moins 28 000 serveurs Citrix étaient en danger.
« Nous espérons que ce blog permettra de mieux faire connaître ces deux CVE de Citrix et que nos recherches sur l’identification des versions contribueront à de futures études », ont conclu les chercheurs.