{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

Citrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsol\u00e8tes.

","closed_at":"2024-02-16","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2023-4966","url":"https://www.cve.org/CVERecord?id=CVE-2023-4966"}],"links":[{"title":"[4] Avis de s\u00e9curit\u00e9 de la CISA du 21 novembre 2023","url":"https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"},{"title":"[5] Les bons r\u00e9flexes en cas d'intrusion sur un syst\u00e8me d'information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"[2] Billet de blogue Mandiant du 17 octobre 2023","url":"https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966"},{"title":"Avis CERT-FR CERTFR-2023-AVI-0823 du 11 octobre 2023","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0823/"},{"title":"[3] Billet de blogue NetScaler du 20 novembre 2023","url":"https://www.netscaler.com/blog/news/netscaler-investigation-recommendations-for-cve-2023-4966/"}],"reference":"CERTFR-2023-ALE-012","revisions":[{"description":"Version initiale","revision_date":"2023-10-23T00:00:00.000000"},{"description":"Publication de d\u00e9tails techniques","revision_date":"2023-10-24T00:00:00.000000"},{"description":"Mise \u00e0 jour : publications de l'\u00e9diteur et de la CISA","revision_date":"2023-11-22T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2024-02-16T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"\\[Mise \u00e0 jour du 22 novembre\n2023\\]\n\nL'\u00e9diteur a publi\u00e9 un document \\[3\\] le 20 novembre 2023 listant les\ndiff\u00e9rents journaux \u00e0 analyser ainsi que les \u00e9l\u00e9ments \u00e0 rechercher pour\nidentifier une activit\u00e9 pouvant \u00eatre li\u00e9e \u00e0 une compromission.\n\nPar ailleurs, la CISA a publi\u00e9 un avis de s\u00e9curit\u00e9 le 21 novembre 2023\n\\[4\\] indiquant que, comme anticip\u00e9 le 24 octobre, des campagnes d'exploitation\nmassives sont en cours notamment pour le d\u00e9ploiement de ran\u00e7ongiciels.\n\nLe CERT-FR rappelle que tout \u00e9quipement\nqui n'aurait pas \u00e9t\u00e9 mis \u00e0 jour doit \u00eatre consid\u00e9r\u00e9 comme compromis. Il\nest imp\u00e9ratif de r\u00e9aliser des investigations sans d\u00e9lai \\[5\\] en\ns'appuyant sur l'ensemble des recommandations fournies dans les\ndiff\u00e9rentes publications \\[2\\]\\[3\\]\\[4\\].\n\n\u00a0\n\n\\[Mise \u00e0 jour du 24 octobre 2023\\]\nDes chercheurs ont publi\u00e9s des d\u00e9tails techniques sur la\nvuln\u00e9rabilit\u00e9 ce jour. Le\nCERT-FR anticipe l'apparition de codes d'exploitation publics suivie\nd'une augmentation des tentatives d'exploitation de cette\nvuln\u00e9rabilit\u00e9.\n\n\\[Publication initiale\\]\n\nLe 10 octobre 2023, Citrix a publi\u00e9 un avis de s\u00e9curit\u00e9 \\[1\\] concernant\nla vuln\u00e9rabilit\u00e9 CVE-2023-4966 affectant NetScaler ADC et NetScaler\nGateway. L'\u00e9diteur lui a donn\u00e9 un score de 9,4 et indiqu\u00e9 qu'elle permet\nune atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es.\n\nLe 17 octobre 2023, Citrix a mis son avis \u00e0 jour pour d\u00e9clarer avoir\nconnaissance d'exploitations actives de la vuln\u00e9rabilit\u00e9 CVE-2023-4966.\n\nLe m\u00eame jour, Mandiant a publi\u00e9 un billet de blogue \\[2\\] dans lequel\nl'entreprise d\u00e9clare avoir connaissance d'exploitations actives de cette\nvuln\u00e9rabilit\u00e9 depuis fin ao\u00fbt 2023.\u00a0 Mandiant pr\u00e9cise que l\u2019exploitation\nde cette vuln\u00e9rabilit\u00e9 permet \u00e0 l'attaquant de prendre le contr\u00f4le de\nsessions actives avec le niveau de privil\u00e8ges des utilisateurs\nconcern\u00e9s. Cela permet de contourner l'authentification \u00e0 multiples\nfacteurs et le seul fait d'appliquer la mise \u00e0 jour ne bloque pas\nl'acc\u00e8s \u00e0 l'attaquant.\n\nSur la base des informations fournies par Mandiant dans son rapport (cf.\nle rapport d\u00e9taill\u00e9 r\u00e9f\u00e9renc\u00e9 dans son billet \\[2\\]), le CERT-FR\nrecommande de r\u00e9aliser les actions suivantes :\n\n- appliquer la mise \u00e0 jour sans d\u00e9lai ;\n- couper toutes les sessions existantes sans d\u00e9lai ;\n- renouveler les mots de passe des comptes d\u00e9clar\u00e9s sur les\n passerelles vuln\u00e9rables ;\n- mener des investigations pour identifier les actions prises par un\n potentiel attaquant.\n\n\u00a0\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Citrix NetScaler ADC et NetScaler Gateway","vendor_advisories":[{"published_at":null,"title":"[1] Bulletin de s\u00e9curit\u00e9 Citrix CTX579459 du 10 octobre 2023","url":"https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967"}]}