Posté le novembre 13, 2021 à 17:36
CITRIX FERME SON RÉSEAU EN RAISON D’UNE VULNÉRABILITÉ DDOS
Citrix a annoncé avoir découvert une vulnérabilité DDoS qui a entraîné la fermeture de son réseau et affecté son ADC et sa passerelle. L’entreprise a également déclaré que le bug a affecté la disponibilité de ses appliances SD-WAN.
Avec la faille de sécurité critique dans la passerelle Citrix et l’application Citrix, les attaquants pourraient faire tomber tout le réseau de l’entreprise sans aucune autorisation.
Les deux produits Citrix concernés sont utilisés pour sécuriser l’accès à distance et pour la gestion du trafic en fonction des applications.
La vulnérabilité a déjà été corrigée
La société a déclaré qu’un correctif pour la vulnérabilité a déjà été publié. La vulnérabilité est répertoriée sous le nom de CVE-2021-22955 et permet un déni de service non authentifié en raison de la consommation incontrôlée de ressources.
La deuxième faille est identifiée sous le nom de CVE-2021-22956 et rend possible une interruption temporaire de l’interface graphique de gestion d’un appareil.
Il s’agit de l’API Nitro qui configure et surveille les appareils NetSCaler de manière programmatique, ce qui permet l’informatique distribuée dans les paramètres Citrix.
L’exploitation a eu un impact considérable car les trois produits concernés sont utilisés dans le monde entier. ADC et Gateway ont été installés par plus de 80 000 entreprises dans 158 pays, selon une évaluation de Positive Technologies.
Lorsque l’une des appliances est perturbée, elle peut empêcher l’accès aux ressources de l’entreprise par les succursales et à distance. Cela pourrait également entraîner le blocage général du cloud et des actifs virtuels.
Les clients de Citrix ne sont pas affectés
Le type de vulnérabilité les rend très attractifs pour les hackers, notamment sur la passerelle et l’ADC en particulier.
Bien que Citrix n’ait pas fourni de détails techniques sur la vulnérabilité, l’exploitation de la CVE-2021-22955 tend à être très difficile. Selon VulnDB, l’exploitation du bug ne peut se faire qu’au sein du réseau local. De plus, l’attaque du bug ne nécessite aucune forme d’authentification. Bien que Citrix ait classé le bug comme critique, un score de gravité de 5.1 lui a été attribué.
VulnDB a également signalé que le coût de l’exploitation du bug peut s’élever à environ 5 000 $, mais que la manipulation avec une entrée inconnue peut entraîner une vulnérabilité de déni de service.
Pour la première vulnérabilité ADC et Gateway de Citrix, les appliances doivent être configurées comme un serveur virtuel AAA ou VPN pour être disponibles. Pour la deuxième vulnérabilité, les appliances doivent avoir accès à SNIP ou NSIP avec accès à l’interface de gestion. Toutefois, Citrix a déclaré que les clients utilisant ses services gérés en nuage ne sont pas affectés par l’attaque DDoS. Les serveurs sont toujours protégés par le protocole DTLS.
Le Datagram Transport Layer Security (DTLS) est un protocole de communication utilisé pour sécuriser les services ou les applications sensibles aux délais qui utilisent le transport de datagrammes. La conception du DTLS empêche la falsification ou l’écoute clandestine, ainsi que la protection de la confidentialité des données.
Citrix a précédemment corrigé un bug qui pourrait permettre aux hackers d’exploiter son système, bien qu’il s’agisse d’un cas de faible gravité. Selon l’entreprise, le bug était dû à une utilisation non gérée des ressources, qui affecte à la fois l’appliance Citrix SD-WAN WANOP edition et les produits Citrix SD-WAN précédents.
En décembre de l’année dernière, Citrix a averti ses clients que des acteurs malveillants profitaient des produits ADC de la société pour mener des attaques DDoS. À l’époque, la société avait indiqué que l’attaque touchait un nombre limité de clients.
Citrix ADC et Gateway à nouveau exposés
Citrix ADC était auparavant appelé NetScaler ADC. Il est utilisé comme une appliance réseau pour améliorer les performances des applications et les fonctionnalités de sécurité.
Citrix a également eu des problèmes avec des cyber-attaquants qui exploitent des vulnérabilités connues dans leurs produits.
En décembre 2019, des chercheurs en sécurité ont découvert une vulnérabilité RCE critique et l’ont divulguée en tant que zero-day. Le bug n’a pas été facile à corriger, car il a fallu plusieurs semaines au fournisseur pour fournir une mise à jour.
L’année dernière, de multiples bugs ont été découverts qui pouvaient permettre une injection de code, un déni de service et une divulgation d’informations. Nombre d’entre eux sont exploités par des acteurs malveillants à distance non autorisés.
L’ADC et la passerelle, après avoir été exposés à des risques de sécurité l’année dernière, sont devenus exploitables par des hackers. Cependant, Citrix a publié un correctif pour la faille plus tôt en janvier de cette année. Mais il semble que d’autres vulnérabilités préexistaient avant la publication du correctif, comme l’a montré la récente attaque.
La dernière attaque contre les produits ADC a été découverte au début du mois par Marco Hofman, un chercheur en sécurité de la société allemande de logiciels Anaxco Gmbh. Il a déclaré que les hackers ciblent le port UDP:443 utilisé par les produits Citrix.
La société a également conseillé à ses clients d’installer des mises à jour et de reconfigurer les modules afin d’éviter toute exploitation ultérieure.
