Des backdoors dans plus de 1 800 installations Citrix Netscaler

0


Suite la dcouverte de failles critiques dans ses solutions ADC et Gateway Netscaler en juillet, Citrix avait lanc des correctifs. A ce jour, plus de 1 800 systmes sont toujours compromis par une porte drobe.

L’une des cl√©s en cybers√©curit√© est d’appliquer d√®s que possible les correctifs disponibles. Le cas √©ch√©ant, les entreprises courent un risque et en l’esp√®ce, c’est ce qui est en train d’arriver pour celles n’ayant pas encore mis √† jour leurs installations Citrix Netscaler (ADC et Gateway). Petit rappel de la situation : le 19 juillet, l’√©diteur a¬†publi√© des bulletins d’alerte¬†concernant trois failles, dont la CVE-2023-3519 ouvrant la voie √† de l’ex√©cution de code √† distance sans authentification. Pr√®s d’un mois plus tard, force est de constater que la situation n’est gu√®re r√©jouissante. Selon les chercheurs en s√©curit√© de Fox-IT (groupe NCC) en collaboration avec le Dutch Institute of Vulnerability Disclosure, de tr√®s nombreuses installations sont encore √† risque.¬†

Lors de cette campagne d’exploitation, 31 127 syst√®mes Netscaler √©taient vuln√©rables √† CVE-2023-3519. En date du 14 ao√Ľt, 1 828 syst√®mes sont toujours compromis par un backdoor alors que 1 248 qui l’ont √©t√© sont d√©sormais prot√©g√©s de la CVE-2023-3519. Attention toutefois : ¬ę¬†Un [syst√®me] Netscaler patch√© peut toujours contenir une porte d√©rob√©e. Il est recommand√© d’effectuer une v√©rification des indicateurs de compromission sur vos [syst√®mes] Netscaler, quelle que soit la date √† laquelle le correctif a √©t√© appliqu√© ¬Ľ, a pr√©venu Fox-IT.

Des scritps d’analyse forensics et de v√©rification des IOC disponibles

La soci√©t√© indique¬†avoir fourni un script Python qui utilise Dissect pour effectuer une analyse forensics des installations Netscalers. De son c√īt√©, Mandiant (rachet√© par Google Cloud)¬†a pouss√© un script bash pour v√©rifier les indicateurs de compromission. Sachez que si ce script est ex√©cut√© deux fois, il produira des r√©sultats faussement positifs car certaines recherches sont √©crites dans les journaux Netscaler chaque fois que le script est ex√©cut√©.

¬ę¬†Si des traces de compromission sont d√©couvertes, s√©curiser les donn√©es forensics ; il est fortement recommand√© d’effectuer une copie forensics du disque et de la m√©moire de l’appliance avant toute action de rem√©diation ou d’investigation. Si l’appliance Citrix est install√©e sur un hyperviseur, un snapshot peut √™tre r√©alis√© pour le suivi de l’investigation. Si un webshell est trouv√©, il faut v√©rifier s’il a √©t√© utilis√© pour effectuer des activit√©s. L’utilisation du webshell doit √™tre visible dans les journaux d’acc√®s de Netscaler. S’il y a des indications que le webshell a √©t√© utilis√© pour effectuer des activit√©s non autoris√©es, il est essentiel de mener une enqu√™te plus approfondie, afin d’identifier si l’adversaire a effectu√© du d√©placement lat√©ral de Netscaler vers un autre syst√®me de votre infrastructure ¬Ľ, pr√©viennent les chercheurs en s√©curit√© de Fox-IT.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *