L'une des clés en cybersécurité est d'appliquer dès que possible les correctifs disponibles. Le cas échéant, les entreprises courent un risque et en l'espèce, c'est ce qui est en train d'arriver pour celles n'ayant pas encore mis à jour leurs installations Citrix Netscaler (ADC et Gateway). Petit rappel de la situation : le 19 juillet, l'éditeur a publié des bulletins d'alerte concernant trois failles, dont la CVE-2023-3519 ouvrant la voie à de l'exécution de code à distance sans authentification. Près d'un mois plus tard, force est de constater que la situation n'est guère réjouissante. Selon les chercheurs en sécurité de Fox-IT (groupe NCC) en collaboration avec le Dutch Institute of Vulnerability Disclosure, de très nombreuses installations sont encore à risque. 

Lors de cette campagne d'exploitation, 31 127 systèmes Netscaler étaient vulnérables à CVE-2023-3519. En date du 14 août, 1 828 systèmes sont toujours compromis par un backdoor alors que 1 248 qui l'ont été sont désormais protégés de la CVE-2023-3519. Attention toutefois : « Un [système] Netscaler patché peut toujours contenir une porte dérobée. Il est recommandé d'effectuer une vérification des indicateurs de compromission sur vos [systèmes] Netscaler, quelle que soit la date à laquelle le correctif a été appliqué », a prévenu Fox-IT.

Des scritps d'analyse forensics et de vérification des IOC disponibles

La société indique avoir fourni un script Python qui utilise Dissect pour effectuer une analyse forensics des installations Netscalers. De son côté, Mandiant (racheté par Google Cloud) a poussé un script bash pour vérifier les indicateurs de compromission. Sachez que si ce script est exécuté deux fois, il produira des résultats faussement positifs car certaines recherches sont écrites dans les journaux Netscaler chaque fois que le script est exécuté.

« Si des traces de compromission sont découvertes, sécuriser les données forensics ; il est fortement recommandé d'effectuer une copie forensics du disque et de la mémoire de l'appliance avant toute action de remédiation ou d'investigation. Si l'appliance Citrix est installée sur un hyperviseur, un snapshot peut être réalisé pour le suivi de l'investigation. Si un webshell est trouvé, il faut vérifier s'il a été utilisé pour effectuer des activités. L'utilisation du webshell doit être visible dans les journaux d'accès de Netscaler. S'il y a des indications que le webshell a été utilisé pour effectuer des activités non autorisées, il est essentiel de mener une enquête plus approfondie, afin d'identifier si l'adversaire a effectué du déplacement latéral de Netscaler vers un autre système de votre infrastructure », préviennent les chercheurs en sécurité de Fox-IT.