Citrix Bleed (CVE-2023-4966) est l'une des vulnérabilités les plus critiques de 2023. Une fuite de mémoire dans Citrix NetScaler ADC et NetScaler Gateway permet à un attaquant non authentifié de récupérer des tokens de session valides, contournant non seulement l'authentification mais aussi le MFA (authentification multi-facteurs). Des dizaines de groupes APT et de gangs de ransomware l'ont massivement exploitée.
Qu'est-ce que Citrix NetScaler ?
Citrix NetScaler ADC (Application Delivery Controller) et NetScaler Gateway sont des équipements réseau critiques utilisés par des milliers d'entreprises pour :
- VPN et accès distant sécurisé (NetScaler Gateway)
- Load balancing et proxy applicatif (NetScaler ADC)
- SSO et authentification pour les applications d'entreprise
Leur position stratégique en entrée du réseau en fait des cibles de premier choix.
CVE-2023-4966 : la fuite mémoire
Mécanisme
CVE-2023-4966 est une fuite de mémoire tampon (buffer over-read) dans le gestionnaire de requêtes HTTP de NetScaler. En envoyant une requête HTTP avec un en-tête Host surdimensionné, l'attaquant déclenche une lecture au-delà des limites du buffer, renvoyant des données en mémoire qui incluent des tokens de session actifs.
Score CVSS : 9.4 (Critique)
Publié : 10 octobre 2023
Exploitée activement avant le patch (zero-day depuis août 2023 selon Mandiant)
Ce que contient la mémoire volée
Les tokens de session NetScaler contiennent :
- L'identité de l'utilisateur authentifié
- Les droits d'accès et groupes
- La durée de validité de la session
Avec un token valide, l'attaquant se connecte en tant que l'utilisateur, sans connaître son mot de passe, sans passer par le MFA, sans aucune trace dans les logs d'authentification.
Versions affectées
| Produit | Versions affectées | Version corrigée |
|---|---|---|
| NetScaler ADC et Gateway 14.1 | < 14.1-8.50 | 14.1-8.50+ |
| NetScaler ADC et Gateway 13.1 | < 13.1-49.15 | 13.1-49.15+ |
| NetScaler ADC et Gateway 13.0 | < 13.0-92.19 | 13.0-92.19+ |
| NetScaler ADC 13.1-FIPS | < 13.1-37.164 | 13.1-37.164+ |
| NetScaler ADC 12.1-FIPS | < 12.1-55.300 | 12.1-55.300+ |
Exploitation massive par des groupes APT
Mandiant a confirmé que CVE-2023-4966 était exploitée comme zero-day depuis août 2023, soit deux mois avant la divulgation publique. Les groupes identifiés incluent :
- UNC3944 / Scattered Spider : groupe responsable des attaques MGM Resorts et Caesars Entertainment en septembre 2023
- LockBit : gang de ransomware majeur
- ALPHV/BlackCat : autre gang de ransomware
- Plusieurs groupes APT étatiques non nommés
Scénario d'attaque typique
- Scanner internet pour identifier les NetScaler exposés
- Exploiter CVE-2023-4966 pour récupérer des tokens de session
- Réutiliser les sessions volées pour accéder au VPN de l'entreprise
- Pivoter dans le réseau interne
- Déployer ransomware ou exfiltrer des données
Détecter une exploitation
Symptôme clé : sessions actives inattendues
# Via l'interface CLI NetScaler
show aaa session
# Chercher des sessions depuis des IPs inconnues ou à des heures inhabituelles
# Les sessions volées apparaissent comme des sessions légitimes
Dans les logs
Cherchez des connexions VPN depuis des pays ou IPs inhabituels avec des sessions qui n'ont pas de tentative d'authentification préalable (token direct).
Outil de détection Citrix
Citrix a publié un outil de détection sur son site support. Les IOCs incluent des requêtes HTTP avec des en-têtes Host anormalement longs dans les logs NetScaler.
Remédiation
1. Patcher en urgence
C'est la seule vraie solution. Appliquez immédiatement les versions corrigées listées ci-dessus.
2. Invalider TOUTES les sessions actives après patch
Critique : le patch seul ne suffit pas si des tokens ont déjà été volés. Il faut tuer toutes les sessions actives :
# Via CLI NetScaler - invalider toutes les sessions ICA
kill icaconnection -all
# Invalider toutes les sessions AAA/VPN
kill aaa session -all
# Ou via l'interface Citrix ADM
Si vous patcher sans tuer les sessions, les attaquants déjà en possession de tokens valides conservent leur accès.
3. Activer la surveillance des sessions
Après patch et invalidation, surveillez les nouvelles connexions depuis des IPs inhabituelles.
4. Si compromis : forensics complet
Un attaquant ayant utilisé un token volé laisse peu de traces dans les logs d'auth. L'investigation doit couvrir les accès aux ressources internes post-connexion.
Citrix : un historique de failles critiques
CVE-2023-4966 s'inscrit dans une longue liste de vulnérabilités critiques Citrix :
- CVE-2019-19781 — RCE pré-auth dans NetScaler Gateway (CVSS 9.8), exploitée massivement en 2020
- CVE-2022-27518 — RCE non authentifiée dans Citrix ADC (CVSS 9.8)
- CVE-2023-3519 — RCE non authentifiée dans NetScaler (CVSS 9.8), exploitée simultanément avec CVE-2023-4966
Les appliances Citrix exposées sur internet doivent faire l'objet d'une veille CVE permanente.
Enregistrez votre version NetScaler dans votre parc sur cveo.tech et recevez une alerte dès que la prochaine CVE Citrix est publiée.