Les appliances NetScaler ADC et Gateway, qui sont configurées en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou serveur virtuel AAA, doivent être mis à jour d’urgence. Citrix a corrigé il y a deux semaines une faille critique de divulgation d’informations sensibles (CVE-2023-4966). Les investigations de la société de cybersécurité Mandiant ont montré que cette faille, avec un indice de gravité de 9,4/10, était exploitée depuis août pour voler des sessions d’authentification et détourner des comptes.
« Nous avons désormais des rapports d’incidents correspondant à un détournement de session et avons reçu des rapports crédibles d’attaques ciblées exploitant cette vulnérabilité », a déclaré Citrix. De plus un exploit de preuve de concept, baptisé Citrix Bleed, est désormais en ligne sur GitHub.
En plus de l’application des correctifs, Citrix recommande de supprimer toutes les sessions actives et persistantes. Mandiant a en effet averti que les sessions compromises persistent même après l’application des correctifs. Le bulletin de sécurité de Citrix avec les mesures correctives est accessible ici.