Détection CVE-2023-4966 : Vulnérabilité Critique de Citrix NetScaler Exploitée Activement dans la Nature

En ajoutant à la liste de failles critiques zero-day de Citrix NetScaler, les chercheurs en sécurité avertissent d’une nouvelle vulnérabilité dangereuse (CVE-2023-4966) continuellement exploitée dans la nature malgré un correctif publié en octobre. Marquée comme une faille de divulgation d’informations, CVE-2023-4966 permet aux acteurs malveillants de détourner des sessions authentifiées existantes et de potentiellement contourner l’authentification multifacteur (MFA). Selon les experts en sécurité, le patch pourrait ne pas suffire à combler une faille de sécurité, nécessitant la terminaison de toutes les sessions actives après l’installation de la mise à jour. La vulnérabilité a obtenu le niveau de gravité le plus élevé et a été ajoutée au catalogue KEV par le CISA.

Détecter les exploits de CVE-2023-4966

Avec l’avalanche d’attaques en cours utilisant CVE-2023-4966 et une approche complexe requise pour résoudre le problème, les praticiens de la sécurité ont besoin d’une source fiable de contenu de détection pour identifier les intrusions possibles dès les premières étapes. L’équipe SOC Prime a développé une règle de détection dédiée pour identifier les tentatives d’exploitation possibles de CVE-2023-4966 :

Tentative possible d’exploitation de CVE-2023-4966 Citrix (via serveur web)

La règle est compatible avec 13 solutions d’analyse de sécurité et est mappée au cadre MITRE ATT&CK, abordant les tactiques d’accès initial avec la technique Exploit Public-Facing Application (T1190) correspondante.

Explorez la pile de détection plus large destinée à la détection des CVEs émergentes en cliquant sur le Explorer les Détections bouton. Les professionnels de la sécurité peuvent obtenir un contexte de cybermenace approfondi accompagné de références ATT&CK et de liens CTI, ainsi que des métadonnées exploitables adaptées aux besoins spécifiques de leur organisation pour une recherche de menaces rationalisée.

Explorer les Détections

Analyse de CVE-2023-4966

Les chercheurs ont récemment identifié une nouvelle vulnérabilité zero-day suivie sous le nom de CVE-2023-4966 et affectant les instances Citrix NetScaler ADC et Gateway. Citrix a publié un avis de cybersécurité informant ses clients des tentatives d’exploitation de CVE-2023-4966 qui pourraient potentiellement conduire à la divulgation d’informations sensibles. Pour être exploitées par des attaquants, les instances Citrix devraient être configurées soit en tant que Gateway avec des fonctions spécifiques (serveur virtuel VPN, ICA Proxy, CVPN, RDP Proxy) soit en tant que serveur virtuel AAA. CVE-2023-4966 n’impacte pas les clients utilisant les services cloud gérés par Citrix ou l’authentification Adaptive gérée par Citrix.

CVE-2023-4966 a atteint le score critique CVSS de 9,4 et a été activement exploitée dans la nature en tant que faille zero-day, exposant un nombre important de clients à des risques croissants.

Malgré la publication des correctifs pour CVE-2023-4966 dans la première décennie d’octobre, Citrix a ajouté des modifications à l’avis pour souligner qu’il y a eu des cas observés d’exploitation de CVE-2023-4966 sur des appareils non protégés ou atténués.

Les chercheurs de Mandiant ont observé des exploitations actives de CVE-2023-4966 ciblant les services professionnels, l’industrie technologique, et le secteur public. L’exploitation réussie de la faille pourrait permettre aux acteurs malveillants de prendre le contrôle de sessions authentifiées établies, évitant effectivement l’authentification multifacteur et d’autres politiques d’authentification robustes. De plus, les chercheurs ont révélé les incidents de détournement de sessions où les données de session ont été volées avant l’application du correctif pour être plus tard exploitées à des fins offensives.

Considérant les preuves disponibles de tentatives d’exploitation en cours, le CISA a ajouté CVE-2023-4966 ainsi qu’une autre faille de déni de service suivie sous le nom de CVE-2023-4967 au Catalogue des Vulnérabilités Connues Exploitées.

Pour atténuer la menace, Citrix recommande de mettre à jour immédiatement les instances potentiellement affectées en installant les versions suggérées. Les utilisateurs d’appareils NetScaler ADC ou NetScaler Gateway sur le matériel SDX devraient mettre à niveau leurs instances VPX.

Avec l’augmentation du nombre de zero-days utilisés par les adversaires dans les attaques in-the-wild, le contenu de détection pour le cas d’utilisation proactive de l’exploitation de vulnérabilités est l’une des principales priorités pour renforcer la résilience cybernétique de l’organisation. Augmentez vos capacités d’ingénierie de détection avec Uncoder AI, le premier IDE du secteur pour la défense informée par les menaces actives, pour créer des détections plus rapidement, éviter les erreurs courantes de syntaxe et de logique, enrichir le code avec une intelligence sur mesure, et le traduire instantanément en 65 formats de langages.