CERTFR-2023-ALE-012

<span style="color: #ff0000;"><strong>\[Mise à jour du 22 novembre 2023\]</strong></span> L'éditeur a publié un document \[3\] le 20 novembre 2023 listant les différents journaux à analyser ainsi que les éléments à rechercher pour identifier une activité pouvant être liée à une compromission. Par ailleurs, la CISA a publié un avis de sécurité le 21 novembre 2023 \[4\] indiquant que, comme anticipé le 24 octobre, des <span style="text-decoration: underline;">campagnes d'exploitation</span> massives sont en cours notamment pour le <span style="text-decoration: underline;">déploiement de rançongiciels</span>. <span style="color: #ff0000;"><strong>Le CERT-FR rappelle que tout équipement qui n'aurait pas été mis à jour doit être considéré comme compromis. Il est impératif de réaliser des investigations sans délai \[5\] en s'appuyant sur l'ensemble des recommandations fournies dans les différentes publications \[2\]\[3\]\[4\].</strong></span>   <span style="color: #000000;"><strong>\[Mise à jour du 24 octobre 2023\]</strong> </span>Des chercheurs ont publiés des détails techniques sur la vulnérabilité ce jour. <span style="text-decoration: underline;">Le CERT-FR anticipe l'apparition de codes d'exploitation publics suivie d'une augmentation des tentatives d'exploitation de cette vulnérabilité</span>. <strong>\[Publication initiale\]</strong> Le 10 octobre 2023, Citrix a publié un avis de sécurité \[1\] concernant la vulnérabilité CVE-2023-4966 affectant NetScaler ADC et NetScaler Gateway. L'éditeur lui a donné un score de 9,4 et indiqué qu'elle permet une atteinte à la confidentialité des données. Le 17 octobre 2023, Citrix a mis son avis à jour pour déclarer avoir connaissance d'exploitations actives de la vulnérabilité CVE-2023-4966. Le même jour, Mandiant a publié un billet de blogue \[2\] dans lequel l'entreprise déclare avoir connaissance d'exploitations actives de cette vulnérabilité depuis fin août 2023.  Mandiant précise que l’exploitation de cette vulnérabilité permet à l'attaquant de prendre le contrôle de sessions actives avec le niveau de privilèges des utilisateurs concernés. Cela permet de contourner l'authentification à multiples facteurs et le seul fait d'appliquer la mise à jour ne bloque pas l'accès à l'attaquant. Sur la base des informations fournies par Mandiant dans son rapport (cf. le rapport détaillé référencé dans son billet \[2\]), le CERT-FR recommande de réaliser les actions suivantes : - appliquer la mise à jour <span style="text-decoration: underline;">sans délai</span> ; - couper toutes les sessions existantes <span style="text-decoration: underline;">sans délai</span> ; - renouveler les mots de passe des comptes déclarés sur les passerelles vulnérables ; - mener des investigations pour identifier les actions prises par un potentiel attaquant.