Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • NetScaler ADC 12.1-FIPS antérieures à 12.1-55.297
  • NetScaler ADC 12.1-NDcPP antérieures à 12.1-55.297
  • NetScaler ADC 13.1-FIPS antérieures à 13.1-37.159
  • NetScaler ADC et NetScaler Gateway versions 13.0-x antérieures à 13.0-91.13
  • NetScaler ADC et NetScaler Gateway versions 13.1-x antérieures à 13.1-49.13

Résumé

Le 18 juillet 2023, Citrix a publié un avis de sécurité concernant plusieurs vulnérabilités. La plus critique, dont l'identifiant CVE est CVE-2023-3519, permet à un attaquant non authentifié d'exécuter du code arbitraire à distance.

L'équipement est vulnérable s'il est configuré en tant que passerelle (Gateway : VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou en tant que serveur virtuel AAA (AAA virtual server).

L'éditeur indique que les produits NetScaler ADC et NetScaler Gateway en version 12.1 sont en fin de vie. Les clients sont invités à migrer vers une version supportée et à jour des correctifs de sécurité.

Citrix indique que cette vulnérabilité est activement exploitée. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais.

Détection d'une compromission

[mise à jour du 20 juillet 2023] La CISA a documenté une méthode de recherche des signes d'une compromission de l'équipement [2].

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'application seule des correctifs n'est pas suffisante. Il est fortement recommandé d'effectuer une analyse des systèmes [2]. En cas de suspicion de compromission, il est recommandé de continuer les investigations afin de déterminer les actions prises par un éventuel attaquant [1].

Documentation