Faille Citrix : faut-il tout débrancher ?

Désactiver les serveurs Citrix Gateway et Application Delivery Controller ? La cellule cybersécurité du gouvernement néerlandais recommande à certaines entreprises d’envisager cette solution.

L’un et l’autre produit abritent une faille critique (CVE-2019-19781)* que l’éditeur a signalée voilà un mois. Elle peut donner à des tiers l’accès à des réseaux locaux et la possibilité d’y exécuter du code sans authentification.

Les premiers correctifs ne devraient pas arriver avant le 20 janvier.

Face à la multiplication des codes d’exploitation, Citrix propose des mesures d’atténuation.

Problème, d’après le gouvernement néerlandais : ces mesures n’ont pas d’effet sur certaines versions des produits concernés. En l’occurrence, les builds 50.31 et 51.16 à 51.19 de Gateway et Application Delivery Control 12.1.

Citrix confirme… et ajoute que la vulnérabilité touche un troisième produit : l’appliance SD-WAN, dans son édition WANOP (Wan Optimization).

C’est dans ce contexte que le gouvernement néerlandais invite à couper provisoirement le cordon. Ou, à défaut, à renforcer la surveillance du réseau, notamment en établissant des listes noires et/ou blanches d’adresses IP.

Sur place, l’hôpital de Leeuwarden s’est coupé du réseau Internet après avoir constaté des tentatives d’intrusion.

* Toutes les versions de Gateway et d’Application Delivery Controller (anciennement exploités sous la marque NetScaler) sont touchées depuis la 10.5, dont la diffusion avait démarré en juin 2014.

Photo d’illustration © Citrix – CC BY-ND 2.0