Et une faille de plus devrait on dire concernant ADC de Citrix. Depuis 2020, le service d’Application Delivery Controller (analyse le trafic spécifique à l’application pour distribuer, optimiser et sécuriser le trafic réseau des couches 4 - 7 ) est souvent pris pour cible par les pirates. En l’espèce, une nouvelle vulnérabilité a été découverte et est activement exploitée. La NSA a indiqué dans un document qu’un groupe baptisé APT5 (alias UNC2630 et Manganese) lié à la Chine était particulièrement actif sur l’ADC de Citrix.

Référencée CVE-2022-27518, la faille offre à « un attaquant distant non-authentifié d’exécuter un code arbitraire sur l’applicance ». Citrix rajoute des éléments complémentaires, l’appliance doit être configurée comme fournisseur de services SAML ou d’identité (SAML SP, SAML IdP). L’éditeur n’a pas donné de score de gravité pour la vulnérabilité, mais au regard de l’urgence pour appliquer le correctif, il est probable qu’il se rapproche du plus haut niveau (c’est-à-dire des 10).

La NSA prône la vigilance sur la détection de la faille

Dans son document, la NSA propose une procédure détaillée et longue pour détecter un ADC compromis tout en restant vigilant. « Les artefacts peuvent varier en fonction de l'environnement et du stade de cette activité. À ce titre, la NSA recommande d'enquêter sur tout résultat positif, même si d'autres détections ne renvoient aucun résultat. ». Le conseil de Citrix est d'activer la journalisation des audits et d'appliquer les correctifs qu'elle a préparés pour ses produits.

De son côté Tenable a analysé la faille et n’a pas trouvé de code de PoC dans la nature. Il n’en reste pas moins que la gateway réseau ADC de Citrix est une cible privilégiée des pirates. Elle affichait pas moins de 4 failles au sein de la liste de la NSA en 2020 des 25 vulnérabilités les plus utilisées.