Plus de 640 serveurs Citrix compromis en exploitant la faille de sécurité CVE-2023-3519
La faille de sécurité CVE-2023-3519 qui affecte Citrix NetScaler ADC et NetScaler Gateway continue de faire parler d'elle ! Malheureusement, plusieurs centaines de serveurs ont été compromis par les cybercriminels grâce à cette vulnérabilité !
Il y a quelques jours, les chercheurs en sécurité de la Shadowserver Foundation avaient mis en ligne une carte qui mettait en évidence les serveurs Citrix à la fois vulnérables à la CVE-2023-3519 et exposés sur Internet. La carte, visible ci-dessous (accessible ici), montre quels sont les pays les plus vulnérables.
Au total, on parlait de plus de 15 000 serveurs le 24 juillet dernier. Désormais, cette tendance est à la baisse, car le nombre de serveurs vulnérables est passé à moins de 9 800 serveurs ! À cette même date, il y avait 314 serveurs vulnérables identifiés en France : désormais, il reste encore 279 serveurs vulnérables (voir ici).
Toujours d'après la Shadowserver Foundation, les cybercriminels ont compromis au moins 640 serveurs Citrix en exploitant cette vulnérabilité par l'intermédiaire d'une exécution de code à distance. En réalité, il pourrait y avoir beaucoup plus de serveurs compromis. Sur les serveurs compromis, le web shell China Chopper a été déployé par les cybercriminels.
Sur LinkedIn, la Shadowserver Foundation évoque des cyberattaques en cours : "Nous observons des campagnes d'exploitation en cours pour Citrix ADC/Gateway CVE-2023-3519. Veillez à vérifier la présence de webshells dans vos instances. Nous signalons les appliances compromises avec des webshells dans votre réseau dans notre rapport Compromised Website."
De son côté, l'agence américaine CISA met en alerte les entreprises depuis plusieurs semaines : "Le webshell a permis aux pirates de découvrir l'Active Directory (AD) de la victime, de collecter et d'exfiltrer des données AD. Les pirates ont tenté de se déplacer latéralement vers un contrôleur de domaine, mais les contrôles de segmentation du réseau de l'appliance ont bloqué le mouvement."
Quelles sont les versions vulnérables ? Comment se protéger ?
Cet article est l'occasion de rappeler une nouvelle fois quelles sont les versions vulnérables. Les mises à jour sont disponibles depuis le 18 juillet 2023.
Voici la liste officielle des versions vulnérables de Citrix :
- NetScaler ADC et NetScaler Gateway 13.1 avant la version 13.1-49.13
- NetScaler ADC et NetScaler Gateway 13.0 avant la version 13.0-91.13
- NetScaler ADC 13.1-FIPS avant la version 13.1-37.159
- NetScaler ADC 12.1-FIPS avant la version 12.1-55.297
- NetScaler ADC 12.1-NDcPP avant la version 12.1-55.297
Les versions qui intègrent les correctifs de sécurité sont mises en gras dans la liste ci-dessus !