Posté le janvier 10, 2020 à 5:38

LES SERVEURS DE CITRIX SE RÉVÈLENT ETRE VULNERABLES AUX CYBERATTAQUES

Les chercheurs ont révélé que certains cyber-attaquants explorent les faiblesses des produits ADC et Gateway dans les serveurs Citrus. Les chercheurs ont annoncé cette cyberattaque en décembre, car le logiciel malveillant a un impact sur l’ADC NetScaler ainsi que sur le NetScaler, connu sous le nom de Citrus Gateway.

Positive Technologies a initialement signalé la tentative de piratage lorsqu’elle a déclaré que la faiblesse du système permettait aux hackers de traverser les répertoires. Lorsque cette faiblesse est exploitée, les acteurs de la menace peuvent effectuer des attaques par exécution de code à distance sur le système.

Il est à noter que ce n’est pas la première fois que Citrix découvre une faille de sécurité ou une vulnérabilité dans leur système. En mars de l’année dernière, elle a découvert une faille de sécurité due à la faiblesse des identifiants des comptes. Au cours de l’attaque, les acteurs de la menace ont pu infiltrer les réseaux internes et pirater certains documents professionnels critiques.

Les produits vulnérables affectés

Le conseil de sécurité de Citrix a communiqué la liste des produits affectés par la faille. Il s’agit des produits suivants : Gateway version 10.5, Gateway version 11.1, les versions 12.0 et 12.1, ainsi que la version 13.0.

Le conseil de sécurité a également indiqué que plus de 800 000 utilisateurs d’environ 157 pays utilisent les produits ADC. Selon l’entreprise, ces personnes pourraient être vulnérables à des cyberattaques si la faille subsiste.

Mais les utilisateurs aux États-Unis sont plus à risque parce qu’ils dominent le grand nombre d’utilisateurs de l’ADC. Actuellement, 38 % des utilisateurs résident aux États-Unis. L’entreprise a également des utilisateurs importants en Australie, aux Pays-Bas, en Allemagne et au Royaume-Uni. L’application Citrix est utilisée pour connecter les entreprises et les postes de travail critiques.

Selon Positive Technologies, le portail est vulnérable aux attaques car l’application Citrix est d’abord accessible depuis le périmètre réseau des entreprises.

La faille donne un accès non autorisé aux hackers ou autres attaquants aux applications de l’entreprise ainsi qu’aux autres programmes répertoriés sur le réseau interne de l’entreprise. Lorsqu’ils pénètrent dans le serveur réseau de Citrix, ils peuvent atteindre d’autres sections du serveur et infiltrer le système, selon Positive Technologies.

Les chercheurs continuent d’explorer d’autres vulnérabilités

Bleeping Computer a rapporté le 8 janvier que des chercheurs en sécurité avaient découvert des failles dans les serveurs Citrix que des hackers potentiels cherchent à exploiter. Le chercheur Kevin Beaumont a déclaré sur Twitter que certains attaquants lisent des fichiers de configuration de justificatifs d’identité hautement classifiés en utilisant la traversée de répertoires.

? In my Citrix ADC honeypot, CVE-2019-19781 is being probed with attackers reading sensitive credential config files remotely using ../ directory traversal (a variant of this issue). So this is in the wild, active exploitation starting up. ? https://t.co/pDZ2lplSBj

— Kevin Beaumont (@GossiTheDog) January 8, 2020

Selon lui, les hackers n’utilisent pas les codes d’exploits publics. Même s’ils veulent exploiter cette option, cela ne se fait pas actuellement. Il a réitéré que les attaquants n’ont pas utilisé de mesures sophistiquées pour infiltrer le système, ajoutant que certaines des tentatives d’attaque étaient simplement des requêtes GET.

Les mesures d’atténuation

Bien que Citrix n’ait pas encore publié de micrologiciel qui corrigerait la vulnérabilité, la société a publié certaines mesures d’atténuation pour les clusters et les systèmes autonomes. L’entreprise a demandé à ses utilisateurs d’appliquer ces mesures d’atténuation pour éviter d’être victimes d’une cyber-attaque.

Elle a également indiqué que lorsque la version du micrologiciel pour le correctif de la vulnérabilité est publiée, les clients doivent s’assurer que leur système est complètement mis à jour avec le nouveau micrologiciel de leur appareil. De plus, Citrix a demandé à ses clients de s’abonner à des notifications d’alerte pour savoir exactement quand le nouveau micrologiciel sera mis à jour et publié.

Dmitry Serebryannikov, directeur de Positive Technologies, a déclaré que de nombreux réseaux d’entreprise utilisent les applications Citrix. Grâce à l’application, les entreprises peuvent fournir un accès terminal à leurs employés par le biais de la plate-forme.

Compte tenu l’utilisation accrue de l’application Citrix dans le monde des affaires et le risque élevé de vulnérabilité, les chercheurs ont demandé aux experts en sécurité de Citrix de trouver l’origine du problème. Selon eux, il serait utile de découvrir tout sur la faille à temps pour atténuer les menaces futures sur les systèmes.

Les chercheurs en sécurité ont également demandé aux administrations informatiques d’exécuter des ensembles de commandes pour aider à corriger la vulnérabilité et créer une ligne de défense solide contre tout futur cyber-attaque contre le système. Tout en conseillant les clients, Citrix a déclaré que les clients concernés devraient immédiatement appliquer les modifications pour la mise à niveau lorsqu’elle sera sortie. Ils devraient également mettre à niveau d’autres appareils avec le micrologiciel qui sera bientôt disponible.