Les solutions Citrix Netscaler victimes d'intrusions via un backdoor

le 16/08/2023, par Dominique Filippone, Sécurité, 438 mots

Suite à la découverte de failles critiques dans ses solutions ADC et Gateway Netscaler en juillet, Citrix avait lancé des correctifs. A ce jour, plus de 1 800 systèmes sont toujours compromis par une porte dérobée.

Les solutions Citrix Netscaler victimes d'intrusions via un backdoor

L'une des clés en cybersécurité est d'appliquer dès que possible les correctifs disponibles. Le cas échéant, les entreprises courent un risque et en l'espèce, c'est ce qui est en train d'arriver pour celles n'ayant pas encore mis à jour leurs installations Citrix Netscaler (ADC et Gateway). Petit rappel de la situation : le 19 juillet, l'éditeur a publié des bulletins d'alerte concernant trois failles, dont la CVE-2023-3519 ouvrant la voie à de l'exécution de code à distance sans authentification. Près d'un mois plus tard, force est de constater que la situation n'est guère réjouissante. Selon les chercheurs en sécurité de Fox-IT (groupe NCC) en collaboration avec le Dutch Institute of Vulnerability Disclosure, de très nombreuses installations sont encore à risque.

Lors de cette campagne d'exploitation, 31 127 systèmes Netscaler étaient vulnérables à CVE-2023-3519. En date du 14 août, 1 828 systèmes sont toujours compromis par un backdoor alors que 1 248 qui l'ont été sont désormais protégés de la CVE-2023-3519. Attention toutefois : « Un [système] Netscaler patché peut toujours contenir une porte dérobée. Il est recommandé d'effectuer une vérification des indicateurs de compromission sur vos [systèmes] Netscaler, quelle que soit la date à laquelle le correctif a été appliqué », a prévenu Fox-IT.

Des scritps d'analyse forensics et de vérification des IOC disponibles

La société indique avoir fourni un script Python qui utilise Dissect pour effectuer une analyse forensics des installations Netscalers. De son côté, Mandiant (racheté par Google Cloud) a poussé un script bash pour vérifier les indicateurs de compromission. Sachez que si ce script est exécuté deux fois, il produira des résultats faussement positifs car certaines recherches sont écrites dans les journaux Netscaler chaque fois que le script est exécuté.

« Si des traces de compromission sont découvertes, sécuriser les données forensics ; il est fortement recommandé d'effectuer une copie forensics du disque et de la mémoire de l'appliance avant toute action de remédiation ou d'investigation. Si l'appliance Citrix est installée sur un hyperviseur, un snapshot peut être réalisé pour le suivi de l'investigation. Si un webshell est trouvé, il faut vérifier s'il a été utilisé pour effectuer des activités. L'utilisation du webshell doit être visible dans les journaux d'accès de Netscaler. S'il y a des indications que le webshell a été utilisé pour effectuer des activités non autorisées, il est essentiel de mener une enquête plus approfondie, afin d'identifier si l'adversaire a effectué du déplacement latéral de Netscaler vers un autre système de votre infrastructure », préviennent les chercheurs en sécurité de Fox-IT.

Le vol d'identifiants compromet la sécurité du cloud selon IBM X-Force

Selon l'entité X-Force d'IBM, la principale cause de compromission du cloud est liée à l'utilisation inappropriée d'informations d'identification, d'où la nécessité pour les équipes IT de renforcer leurs...

le 18/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1039 mots

Les outils LLM d'Orca aident à détecter les exploits de type Log4j

L'outil de recherche d'Orca Security utilise des requêtes en langage naturel pour identifier les vulnérabilités de type Log4j. Selon Orca Security, l'option de recherche d'actifs dans le cloud ajoutée à sa...

le 11/09/2023, par Shweta Sharma, IDG NS (adaptation Jean Elyan), 589 mots

Briser la chaîne des cyberattaques

Les solutions de Proofpoint ciblent les étapes les plus critiques d'une cyberattaque pour lutter contre la compromission des courriels professionnels, les ransomwares et l'exfiltration de données. Lors du...

le 07/09/2023, par Michael Hill, IDG NS (adapté par Jean Elyan), 945 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...