CVE 2023-3519 : Citrix ADC / Gateway remote code execution
Avertissement de sécurité publié par Citrix
En date du 18 Juillet 2023, la société Citrix publiait un avertissement de sécurité concernant les produits Netscaler ADC et Netscaler Gateway.
L’alerte de sécurité concernait 3 vulnérabilités importantes :
- CVE-2023-3467 : escalade de privilège (CVSSv3 : 8)
- CVE-2023-3466 : Reflected XSS (CVSSv3: 8.3)
- CVE-2023-3519 (CVSSv3: 9.8) : celle qui nous intéresse aujourd’hui dans ce bulletin, prenant la forme d’une exécution de code arbitraire non authentifié. Aujourd’hui, cette CVE est, d’après le fournisseur, une vulnérabilité activement exploitée.
Les versions affectées sont les suivantes :
- NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.13
- NetScaler ADC and NetScaler Gateway 13.0 before 13.0-91.13
- NetScaler ADC 13.1-FIPS before 13.1-37.159
- NetScaler ADC 12.1-FIPS before 12.1-55.297
- NetScaler ADC 12.1-NDcPP before 12.1-55.297
Bien que la vulnérabilité ne soit pas exploitable avec une configuration par défaut, le seul pré-requis est que l’équipement soit configuré en tant que Gateway (VPN, RDP, …) ou AAA virtual server.
Un accès direct aux ressources protégées
A l’origine, les produits Netscaler ADC et Gateway ont pour objectif de protéger et optimiser les accès à différentes applications, y compris depuis Internet. Au même titre que les firewalls, cela en fait des cibles de choix puisqu’ils permettent aux attaquants d’obtenir un accès direct aux ressources protégées depuis l’équipement supposé les protéger. Ainsi, leurs efforts d’accès ne sont pas vains et leur permettent, au contraire, de limier les risques de détection.
❗ NetScaler ADC et NetScaler Gateway version 12.1 n’est plus supportée mais vulnérable. Il n’y aura pas de correctifs pour cette version.
Caractéristiques techniques de l’attaque
Cependant, peu d’informations techniques sont disponibles concernant cette vulnérabilité. Il semblerait qu’un exploit soit disponible depuis le début du mois sur certains forums alternatifs, mais il n’existe pas à ce jour de preuves publiques permettant d’assurer une détection fiable.
Depuis la publication de l’alerte, différentes recherches ont été effectuées. Une publication du CISA nous permet d’y voir plus clair à travers quelques éléments de détection. Les chaînes d’attaques seraient les suivantes :
- l’exploitation initiale comprendrait une tarball contenant un webshell minimal, un script de reconnaissance, ainsi qu’une binaire setuid (pouvant se lander avec les droits du propriétaire du binaire plutôt que ceux de l’utilisateur)
- une reconnaissance Active Directory en utilisant les informations de connexions configurées dans les produits NetScaler
- la compression et le chiffrement des informations collectées
- la mise à disposition de cette archive chiffrée en tant qu’image
- une tentative de reconnaissance sur le sous-réseau via curl ou SMB afin de se déplacer latéralement
- des tests de connectivité extérieure.
Comment détecter l’exploitation de
cette vulnérabilité ?
A ce jour, le manque d’information officielle ne permet que de faire des suppositions sur la source de cette vulnérabilité.
Parmi les publications disponibles, des chercheurs ont effectué un « patchdiff », soit une comparaison entre une version vulnérable et une version corrigée. Leur conclusion montrait que la vulnérabilité nécessitait l’activation de SAML. Une seconde équipe de chercheurs, ont cependant indiqué qu’une vulnérabilité de type Stack Overflow avait été découverte et ne nécessitait qu’une configuration de l’équipement en tant que « Gateway » ou « AAA virtual server ».
A ce jour, les pistes sont donc confuses. Il n’existe que très peu d’informations afin de détecter une exploitation. Les seules IoCs publiées étant deux IP :
- 216.41.162.172
- 216.51.171.17
En attendant plus d’informations sur la vulnérabilité en elle-même, il reste possible d’utiliser les actions de post-exploitation afin d’effectuer une détection. Par exemple, il s’agira d’utiliser :
- la règle 2013028 détectant l’utilisation de curl
- une règle détectant l’exfiltration de données en tant qu’image : alert http <IPs Citrix> any -> any any (msg: »GW LAB Possible exiltration attempt as png« ; filemagic: »gzip compressed data« ; flow:established,to_client; fileext: »png« ; sid:1000001; rev:1; )
- la règle 2046885 (ET WEB_SPECIFIC_APPS Citrix/Netscaler ADC and NetScaler Gateway RCE Attempt CVE-2023-3519 ) détectant une tentative d’exploitation
Il existe également des scripts de détection se basant sur les headers HTTP mis à disposition (comme celui du CERT de Deutsche Telekom) afin d’identifier de potentielles instances vulnérables.
Le bulletin d’alerte du CISA liste également différents indicateurs vérifiables directement sur l’équipement afin de savoir si ce dernier a été compromis.
Il est important de noter que l’application des correctifs de sécurité du fournisseur ne permet que de prévenir de futures tentatives d’exploitation. Dans le cas où l’équipement est déjà compromis, cela ne résoudra pas la problématique.
Auteur : Purple Team Gatewatcher
Ressources
- Advisory Citrix : https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
- Advisory Cisa : https://www.cisa.gov/sites/default/files/2023-07/aa23-201a_csa_threat_actors_exploiting_citrix-cve-2023-3519_to_implant_webshells.pdf
- Bishopfox SO : https://bishopfox.com/blog/citrix-adc-gateway-rce-cve-2023-3519
- Assetnote SAML : https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/