Avis de sécurité : vulnérabilité dans Citrix Application Delivery Controller et Citrix Gateway entraînant l'exécution de code arbitraire (CVE-2019-19781)

*****Par Yaron Kassner, CTO et co-fondateur, Silverfort*****

Une vulnérabilité récemment identifiée dans Citrix Application Delivery Controller (ADC) anciennement connu sous le nom de NetScaler ADC et Citrix Gateway anciennement connu sous le nom de NetScaler Gateway permet, si elle est exploitée, à un attaquant non authentifié d'exécuter du code arbitraire. La vulnérabilité a reçu le numéro CVE : CVE-2019-19781. On estime qu'environ 80 XNUMX organisations sont touchées.

Il n'y a pas encore de correctif disponible, mais Citrix a publié des mesures d'atténuation recommandées. Pour Silverfort clients, nous recommandons les mesures de précaution supplémentaires suivantes en plus de celles recommandées par Citrix, pour garantir qu'un appareil déjà compromis n'est pas utilisé pour un accès non autorisé.

Voici les étapes d'atténuation recommandées pour les utilisateurs de Citrix ADC ou Citrix Gateway :

1. Abonnez-vous aux alertes Citrix vous saurez donc quand le firmware corrigé sera publié :  https://support.citrix.com/user/alerts
2. Effectuez les étapes d'atténuation recommandées par Citrix comme décrit ici : https://support.citrix.com/article/CTX267679
3. Protégez l'accès aux systèmes et applications accessibles depuis votre appareil Citrix avec MFA: En plus des étapes recommandées par Citrix, nous recommandons d'appliquer MFA pour sécuriser l'authentification des utilisateurs avant de leur accorder l'accès aux ressources sensibles. Citrix vous permet d'appliquer MFA à l'accès via ses appareils aux systèmes cibles. Cependant, cette solution n'est pas suffisante : si un pirate a déjà exploité la vulnérabilité et compromis l'appareil Citrix, l'authentification MFA ne sera pas appliquée sur l'accès par code exécuté sur l'appareil Citrix compromis. Dans ce cas Silverfort peut toujours appliquer une authentification sécurisée, que l'accès provienne de l'appareil compromis ou d'un utilisateur légitime.
4. Surveiller l'activité d'authentification et rechercher les anomalies: Les anomalies dans le trafic d'authentification provenant de l'appareil Citrix et le trafic d'authentification ciblant les systèmes accessibles à partir de l'appareil Citrix doivent être visibles dans les journaux et doivent nécessiter une enquête plus approfondie.  SilverfortLe moteur de gestion des risques basé sur l'IA de peut identifier automatiquement ces anomalies et appliquer une politique pour alerter en temps réel ou bloquer l'accès.

Les choses à surveiller incluent:

– Authentification à haut risque

– Charge d'authentification anormalement élevée

– Échec des authentifications

– Authentification provenant de Citrix Gateway, qui ne provient normalement pas de là. Par exemple, surveillez l'accès aux partages de fichiers (cifs Kerberos tickets) et accès RDP (tickets termsrv Kerberos).

– Authentification provenant de Citrix Gateway qui n'est pas dirigée vers les applications protégées Citrix.

Il est important de se rappeler que les menaces existent au sein de nos réseaux, pas seulement à l'extérieur. Nous devons tenir compte du fait que des adversaires ont peut-être déjà pénétré nos réseaux et pris pied, ce qui permet d'autres mouvement latéral et l'accès aux ressources sensibles. Afin de garantir un accès autorisé à nos systèmes, nous devons valider l'identité et appliquer une authentification sécurisée à l'accès de ceux qui se trouvent déjà à l'intérieur de nos réseaux, tout comme nous avons besoin d'une authentification sécurisée pour valider l'identité de ceux qui viennent de l'extérieur de nos réseaux via un VPN ou d'autres passerelles. .

Yaron Kassner, CTO et co-fondateur, Silverfort

SilverfortCTO et co-fondateur de Yaron Kassner est un expert de la cybersécurité et des technologies du Big Data. Avant de co-fonder Silverfort, Yaron a été consultant expert en Big Data pour Cisco. Il a également développé de nouvelles capacités impliquant l'analyse de données volumineuses et des algorithmes d'apprentissage automatique chez Microsoft. Avant cela, Yaron a servi dans l'unité cybernétique d'élite 8200 des Forces de défense israéliennes, où il a dirigé une équipe de R&D réputée, a été élevé au rang de capitaine et a reçu un prestigieux prix d'excellence. Yaron est titulaire d'un B.Sc. en mathématiques, Summa Cum Laude, un M.Sc. et doctorat. en informatique du Technion - Institut israélien de technologie.