CERTFR-2023-ALE-008
Vulnerability from certfr_alerte

Le 18 juillet 2023, Citrix a publié un avis de sécurité concernant plusieurs vulnérabilités. La plus critique, dont l'identifiant CVE est CVE-2023-3519, permet à un attaquant non authentifié d'exécuter du code arbitraire à distance.

L'équipement est vulnérable s'il est configuré en tant que passerelle (Gateway : VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou en tant que serveur virtuel AAA (AAA virtual server).

L'éditeur indique que les produits NetScaler ADC et NetScaler Gateway en version 12.1 sont en fin de vie. Les clients sont invités à migrer vers une version supportée et à jour des correctifs de sécurité.

Citrix indique que cette vulnérabilité est activement exploitée. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais.

Détection d'une compromission

[mise à jour du 20 juillet 2023] La CISA a documenté une méthode de recherche des signes d'une compromission de l'équipement [2].

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'application seule des correctifs n'est pas suffisante. Il est fortement recommandé d'effectuer une analyse des systèmes [2]. En cas de suspicion de compromission, il est recommandé de continuer les investigations afin de déterminer les actions prises par un éventuel attaquant [1].

None
Impacted products
Vendor Product Description
Citrix NetScaler ADC NetScaler ADC 13.1-FIPS antérieures à 13.1-37.159
Citrix N/A NetScaler ADC et NetScaler Gateway versions 13.1-x antérieures à 13.1-49.13
Citrix NetScaler ADC NetScaler ADC 12.1-FIPS antérieures à 12.1-55.297
Citrix N/A NetScaler ADC et NetScaler Gateway versions 13.0-x antérieures à 13.0-91.13
Citrix NetScaler ADC NetScaler ADC 12.1-NDcPP antérieures à 12.1-55.297
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "NetScaler ADC 13.1-FIPS ant\u00e9rieures \u00e0 13.1-37.159",
      "product": {
        "name": "NetScaler ADC",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    },
    {
      "description": "NetScaler ADC et NetScaler Gateway versions 13.1-x ant\u00e9rieures \u00e0 13.1-49.13",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    },
    {
      "description": "NetScaler ADC 12.1-FIPS ant\u00e9rieures \u00e0 12.1-55.297",
      "product": {
        "name": "NetScaler ADC",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    },
    {
      "description": "NetScaler ADC et NetScaler Gateway versions 13.0-x ant\u00e9rieures \u00e0 13.0-91.13",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    },
    {
      "description": "NetScaler ADC 12.1-NDcPP ant\u00e9rieures \u00e0 12.1-55.297",
      "product": {
        "name": "NetScaler ADC",
        "vendor": {
          "name": "Citrix",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2024-01-02",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\nL\u0027application seule des correctifs n\u0027est pas suffisante. Il est\nfortement recommand\u00e9 d\u0027effectuer une analyse des syst\u00e8mes \\[2\\]. En cas\nde suspicion de compromission, il est recommand\u00e9 de continuer les\ninvestigations afin de d\u00e9terminer les actions prises par un \u00e9ventuel\nattaquant \\[1\\].\n",
  "cves": [
    {
      "name": "CVE-2023-3519",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-3519"
    }
  ],
  "initial_release_date": "2023-07-19T00:00:00",
  "last_revision_date": "2024-01-02T00:00:00",
  "links": [
    {
      "title": "[2] Avis CISA aa23-201a du 20 juillet 2023",
      "url": "https://www.cisa.gov/sites/default/files/2023-07/aa23-201a_csa_threat_actors_exploiting_citrix-cve-2023-3519_to_implant_webshells.pdf"
    },
    {
      "title": "Avis CERT-FR CERTFR-2023-AVI-0568 du 19 juillet 2023",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0568/"
    },
    {
      "title": "[1] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    }
  ],
  "reference": "CERTFR-2023-ALE-008",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2023-07-19T00:00:00.000000"
    },
    {
      "description": "Ajout d\u0027informations pour la d\u00e9tection d\u0027une compromission",
      "revision_date": "2023-07-21T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-01-02T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 18 juillet 2023, Citrix a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant\nplusieurs vuln\u00e9rabilit\u00e9s. La plus critique, dont l\u0027identifiant CVE est\nCVE-2023-3519, permet \u00e0 un attaquant non authentifi\u00e9 d\u0027ex\u00e9cuter du code\narbitraire \u00e0 distance.\n\nL\u0027\u00e9quipement est vuln\u00e9rable s\u0027il est configur\u00e9 en tant que passerelle\n(*Gateway : VPN virtual server, ICA Proxy, CVPN, RDP Proxy*) ou en tant\nque serveur virtuel AAA (*AAA\u202fvirtual\u202fserver*).\n\nL\u0027\u00e9diteur indique que les produits NetScaler ADC et NetScaler Gateway en\nversion 12.1 sont en fin de vie. Les clients sont invit\u00e9s \u00e0 migrer vers\nune version support\u00e9e et \u00e0 jour des correctifs de s\u00e9curit\u00e9.\n\nCitrix indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e. Le\nCERT-FR recommande donc fortement d\u0027appliquer le correctif dans les plus\nbrefs d\u00e9lais.\n\n## D\u00e9tection d\u0027une compromission\n\n\u003cstrong\u003e\u003cspan style=\"color: #ff0000;\"\u003e\\[mise \u00e0 jour du 20 juillet\n2023\\]\u003c/span\u003e\u003c/strong\u003e La CISA a document\u00e9 une m\u00e9thode de recherche des signes\nd\u0027une compromission de l\u0027\u00e9quipement \\[2\\].\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Citrix NetScaler ADC et NetScaler Gateway",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Citrix CTX561482 du 18 juillet 2023",
      "url": "https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.