Faille critique dans Citrix ADC et Gateway : une mise à jour à installer en urgence !
L'éditeur Citrix a émis une alerte de sécurité au sujet d'une vulnérabilité critique ! Les administrateurs sont invités à mettre à jour leurs instances Citrix ADC et Citrix Gateway dès que possible pour se protéger ! Faisons le point !
Associée à la référence CVE-2022-27518, cette faille de sécurité est activement exploitée par des cybercriminels dans le but de compromettre des entreprises ! En effet, la NSA estime que cette vulnérabilité est exploitée par le groupe de pirates APT5 (appelé aussi UNC2630 et MANGANESE), soutenu par l'état chinois. De son côté, Citrix n'a pas donné de détails sur la façon dont cette faille est utilisée. La NSA a mis en ligne un rapport complet au sujet de l'exploitation de cette vulnérabilité par le groupe APT5.
Au même titre que la vulnérabilité qui affecte les firewalls Fortinet, celle-ci n'est pas à négliger, car elle permet à un attaquant non authentifié d'exécuter des commandes à distance sur des machines vulnérables et d'en prendre le contrôle. On comprend mieux pourquoi Citrix souhaite que les admins installent la dernière version en urgence.
Citrix ADC et Citrix Gateway : quelles sont les versions impactées ?
Citrix a mis en ligne une liste des versions impactées par cette vulnérabilité :
- Citrix ADC et Citrix Gateway 13.0 avant la version 13.0-58.32
- Citrix ADC et Citrix Gateway 12.1 avant la version 12.1-65.25
- Citrix ADC 12.1-FIPS avant la version 12.1-55.291
- Citrix ADC 12.1-NDcPP avant la version 12.1-55.291
Les versions 13.1 de Citrix ADC et Citrix Gateway ne sont pas affectées. Pour les autres versions, il convient de mettre à jour vers la nouvelle version de chaque branche pour se protéger contre cette faille de sécurité.
Au-delà d'utiliser une version vulnérable, il faut que l'instance soit configurée d'une certaine façon pour que l'attaquant puisse exploiter cette vulnérabilité. Voici les précisions de Citrix : "Les clients qui utilisent une version affectée avec une configuration SAML SP ou IdP sont priés d'installer immédiatement les versions recommandées, car cette vulnérabilité a été identifiée comme critique. Aucune solution de contournement n'est disponible pour cette vulnérabilité.". Ici, Citrix fait référence aux fournisseurs SAML Service Provider et SAML Identity Provider.
En regardant de plus près le fichier de configuration "ns.conf", vous pouvez savoir si vous avez activé l'une de ces deux options si vous trouvez ces lignes :
add authentication samlAction add authentication samlIdPProfile
Sur le site de Citrix, vous pouvez consulter ces deux liens pour avoir des informations sur la mise à jour de sécurité et le bulletin de sécurité
