15/11/2024

Actu Cybersécurité

Les pirates attaquent les serveurs Citrix pour capturer des identifiants !

Une faille critique et déjà patchée dans les produits Citrix NetScaler ADC et Gateway est exploitée par des pirates pour voler des identifiants sur les serveurs compromis.

En juillet 2023, les produits NetScaler ADC et NetScaler Gateway, que l'on appelait auparavant Citrix ADC et Citrix Gateway, ont reçu une mise à jour de sécurité pour patcher la faille de sécurité critique associée à la référence CVE-2023-3519. Elle permet à un attaquant non authentifié d'exécuter du code à distance sur l'appliance. Son score CVSS : 9.8 sur 10 !

Les cybercriminels apprécient cette vulnérabilité, notamment parce qu'il y a plusieurs milliers de serveurs Citrix exposés sur Internet, et on compte au moins 640 serveurs Citrix compromis en exploitant la CVE-2023-3519.

Trois mois plus tard, cette vulnérabilité fait toujours parler d'elle... En effet, l'équipe d'IBM X-Force a découvert que des cybercriminels exploitaient cette vulnérabilité pour voler les identifiants de connexion des utilisateurs en injectant du code malveillant dans la page web d'authentification.

"Le script annexé au fichier légitime "index.html" charge un fichier JavaScript distant supplémentaire qui attache une fonction à l'élément "Log On" de la page d'authentification VPN, afin de collecter les informations relatives au nom d'utilisateur et au mot de passe et les envoyer à un serveur distant lors de l'authentification.", peut-on lire dans le rapport d'IBM X-Force.

Pour réussir à déployer cette fonction de captures d'identifiant, les cybercriminels commencent par envoyer sur le serveur cible une requête web spécialement conçue pour exploiter la vulnérabilité CVE-2023-3519 afin de déployer un webshell basé sur PHP sur le serveur compromis. Ce webshell est ensuite utilisé par les cybercriminels pour injecter du code dans la page de connexion de l'application Citrix.

D'après IBM X-Force, la page d'authentification de plusieurs centaines d'instances Citrix a été modifiée, principalement aux États-Unis et en Europe : "X-Force a pu identifier près de 600 adresses IP uniques de victimes hébergeant des pages de connexion NetScaler Gateway modifiées." - La carte ci-dessous montre qu'il y a des victimes en France et cette technique aurait été utilisée la première fois le 11 août 2023.

Source : IBM X-Force

Si vous n'avez pas encore mis à jour votre instance Citrix NetScaler Gateway, il est grand temps de le faire... Mais avant cela, vous pouvez consulter le rapport d'IBM X-Force, puisqu'il explique comment vérifier si votre serveur a été compromis ou non.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.