Des chercheurs de Mandiant ont révélé qu’une vulnérabilité de Citrix NetScaler ADC/Gateway récemment corrigée a été exploitée par des attaquants dans la nature depuis la fin du mois d’août 2023.
Ils ont exploité CVE-2023-4966 pour détourner des sessions authentifiées existantes, ce qui signifie qu’ils ont été en mesure de contourner efficacement les exigences d’authentification multifactorielle.
« Ces sessions peuvent persister après le déploiement de la mise à jour visant à atténuer la CVE-2023-4966. En outre, nous avons observé des détournements de session où les données de session ont été volées avant le déploiement du correctif, puis utilisées par un attaquant moderne », note Mandiant.
« Le détournement de la session authentifiée peut alors entraîner d’autres accès en aval en fonction des autorisations et de l’étendue de l’accès que l’identité ou la session a reçu. Un attaquant moderne pourrait utiliser cette méthode pour récolter des informations d’identification supplémentaires, pivoter latéralement et obtenir l’accès à des ressources supplémentaires au sein d’un environnement. »
Fin août, un groupe de ransomware a ciblé des systèmes Citrix NetScaler non corrigés et orientés vers l’internet en exploitant la CVE-2023-3519.
Citrix conseille vivement à ses clients de passer à une version corrigée de NetScaler ADC et NetScaler Gateway dès que possible.
