Faille Citrix : la situation devient vraiment critique

La situation se complique pour les utilisateurs des produits Citrix Gateway et Application Delivery Controller.

Voilà près d’un mois que le fournisseur américain a signalé l’existence d’une faille dans ces deux solutions.

Aux dernières nouvelles, les premiers correctifs ne devraient pas arriver avant le 20 janvier.

Toutes les versions de Citrix Gateway et Application Delivery Controller (anciennement exploités sous la marque NetScaler) sont touchées depuis la 10.5, dont la diffusion avait démarré en juin 2014.

La faille (CVE-2019-19781) permet de mettre en œuvre la technique du « traversement de répertoires ». C’est-à-dire l’exploration récursive de tous les fichiers et dossiers d’un serveur via des liens symboliques. Avec, pour éventuelle conséquence, des accès non autorisés au réseau local d’une entreprise et l’exécution de code arbitraire.

Depuis quelques jours, les codes d’exploitation se multiplient (ici, là ou encore là). Le CERT-FR en fait état dans un bulletin d’alerte publié le 9 janvier et mis à jour le 13.

Des cibles en France

En attendant la disponibilité des correctifs*, Citrix suggère des mesures de contournement. Elles s’appliquent à la fois aux clusters et aux systèmes autonomes.

Les estimations qui circulent chiffrent en dizaines de milliers le nombre de systèmes vulnérables.

Du côté de l’entreprise britannique Positive Technologies, on évoque 80 000 entreprises exposées dans 158 pays (1 700 en France).

Bad Packets compte pour sa part quelque 25 000 hôtes IPv4 vulnérables représentant un peu plus de 4 500 systèmes autonomes.
La firme américaine a repéré des campagnes de détection de ces systèmes vulnérables lancées depuis l’Allemagne, la Pologne, la Russie ou encore l’Ukraine.

https://twitter.com/bad_packets/status/1215431625766424576?ref_src=twsrc%5Etfw » rel= »nofollow

* Disponbilité le 20 janvier pour les versions 11.1 et 12.0. Le 27 janvier pour les versions 12.1 et 13.0. Le 31 janvier pour la version 10.5.