Un bogue de sécurité critique dans Citrix Application Delivery Controller et Citrix Gateway pourrait permettre aux cyberattaquants de faire tomber des réseaux d’entreprise entiers sans avoir besoin de s’authentifier.
Citrix a également corrigé un bogue de moindre gravité qui est également dû à une consommation incontrôlée des ressources.
Ce dernier fournit une optimisation pour les déploiements Citrix SD-WAN, qui permettent une connectivité sécurisée et un accès transparent aux applications virtuelles, en nuage et de type software-as-a-service dans les entreprises et les succursales.
Tout cela en fait une cible attrayante pour les cybercriminels, et en effet, l’ADC et la passerelle Citrix en particulier ne sont pas des poules mouillées lorsqu’il s’agit de vulnérabilités critiques.
Bien que Citrix n’ait pas publié de détails techniques sur les derniers bogues, VulnDB a noté mercredi que pour CVE-2021-22955, « l’exploitabilité est indiquée comme étant difficile. L’attaque ne peut être lancée qu’au sein du réseau local. L’exploitation ne nécessite aucune forme d’authentification. » Elle a attribué une note de gravité de 5,1 sur 10 au bogue, malgré la note interne de Citrix de « critique ».
Dans le cas du premier bug de Citrix ADC et Gateway, les appliances doivent être configurées comme un serveur virtuel VPN ou AAA pour être vulnérables.