S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 juillet 2023
N° CERTFR-2023-ALE-008
Affaire suivie par: CERT-FR
le 19 juillet 2023

Bulletin d'alerte du CERT-FR

Objet: [MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway

Gestion du document

Référence CERTFR-2023-ALE-008
Titre [MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway
Date de la première version 19 juillet 2023
Date de la dernière version 02 janvier 2024
Source(s) Bulletin de sécurité Citrix CTX561482 du 18 juillet 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • NetScaler ADC et NetScaler Gateway versions 13.1-x antérieures à 13.1-49.13
  • NetScaler ADC et NetScaler Gateway versions 13.0-x antérieures à 13.0-91.13
  • NetScaler ADC 13.1-FIPS antérieures à 13.1-37.159
  • NetScaler ADC 12.1-FIPS antérieures à 12.1-55.297
  • NetScaler ADC 12.1-NDcPP antérieures à 12.1-55.297

Résumé

Le 18 juillet 2023, Citrix a publié un avis de sécurité concernant plusieurs vulnérabilités. La plus critique, dont l'identifiant CVE est CVE-2023-3519, permet à un attaquant non authentifié d'exécuter du code arbitraire à distance.

L'équipement est vulnérable s'il est configuré en tant que passerelle (Gateway : VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou en tant que serveur virtuel AAA (AAA virtual server).

L'éditeur indique que les produits NetScaler ADC et NetScaler Gateway en version 12.1 sont en fin de vie. Les clients sont invités à migrer vers une version supportée et à jour des correctifs de sécurité.

Citrix indique que cette vulnérabilité est activement exploitée. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais.

Détection d'une compromission

[mise à jour du 20 juillet 2023] La CISA a documenté une méthode de recherche des signes d'une compromission de l'équipement [2].

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'application seule des correctifs n'est pas suffisante. Il est fortement recommandé d'effectuer une analyse des systèmes [2]. En cas de suspicion de compromission, il est recommandé de continuer les investigations afin de déterminer les actions prises par un éventuel attaquant [1].

Documentation

Gestion détaillée du document

    le 19 juillet 2023
    Version initiale
    le 21 juillet 2023
    Ajout d'informations pour la détection d'une compromission
    le 02 janvier 2024
    Clôture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.