Sélection de la langue

Alerte - Détection des compromissions attribuables à la vulnérabilité CVE-2019-19781 touchant Citrix

Numéro : AL20-005
Date : 4 février 2019

OBJET

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Au reste, le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

DÉTAILS

La Cybersecurity and Infrastructure Security Agency (CISA) a publié une alerte concernant l’enquête qu’elle mène relativement à la vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. CVE 2019-19781 touchant Citrix. Le Centre pour la cybersécurité aimerait attirer l’attention sur cette alerte, puisque celle-ci fournit de l’information importante aux propriétaires de systèmes et aux opérateurs, à qui il incombe de protéger les systèmes et les réseaux contre les cybermenaces. Le Centre pour la cybersécurité a déjà fait rapport sur ces vulnérabilités au cours des dernières semaines (voir la section Références). Or, le rapport de la CISA contient des renseignements supplémentaires détaillés.

Il est possible de consulter l’alerte de la CISA à l’adresse suivante :
https://www.us-cert.gov/ncas/alerts/aa20-031a

Advenant la découverte d’activités correspondant au contenu de cette alerte, les destinataires de la présente devraient communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).

ÉVALUATION

Compte tenu de la gravité de la vulnérabilité CVE-2019-19781 et de la facilité avec laquelle les auteurs de menace sont en mesure d’accéder au code nécessaire pour compromettre les dispositifs Citrix auxquels aucun correctif ni mesure d’atténuation n’a été appliqué, le Centre pour la cybersécurité recommande aux organismes qui n’ont pas encore appliqué de mesures ou de correctifs de tenir pour acquis qu’ils ont été compromis. Par ailleurs, le Centre pour la cybersécurité suggère fortement aux propriétaires de systèmes qui n’ont pas appliqué les correctifs ou mesures d’atténuation nécessaires de déconnecter immédiatement leurs appliances Citrix d’Internet et de réaliser une enquête complète de criminalistique numérique. Veuillez noter que l’application récente de mesures d’atténuation ou de correctifs n’élimine pas une compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. active qui a eu lieu pendant que l’appliance était vulnérable. Les indicateurs de compromission et les outils de détection des compromissions qui sont offerts par Citrix, par le Centre pour la cybersécurité, par la CISA et par d’autres chercheurs en cybersécurité ne sont pas exhaustifs. Ils devraient donc servir de point de départ pour réaliser une évaluation complète de criminalistique numérique.

INDICATEURS DE COMPROMISSION

Voici de nouveaux indicateurs de compromission signalés dans les sources ouvertes que le Centre pour la cybersécurité n’avait pas encore présentés dans ses rapports :

Monero Cryptominer
/var/tmp/netscalerd
MD5 : 5be9abbe208a1e03ef3def7f9fa816d3
MD5 : 08f76eb3d62d53bff131d2cb0af2773d

Porte dérobée Porte dérobéeMoyen non recensé qui permet, discrètement ou anonymement, d'accéder à distance à un ordinateur après avoir contourné les mécanismes d'authentification et s'être donné accès au texte en clair. (programmée en langage GO)
/var/tmp/nspps
MD5 : 568f7b1d6c2239e208ba97886acc0b1e
MD5 : 1c8c28e4db5ad7773da363146b10a340

RÉFÉRENCES

Bulletin de sécurité Citrix (AV19-291) :
https://cyber.gc.ca/fr/avis/bulletin-de-securite-citrix-0

Exploitation active de vulnérabilités dans Citrix (AL20-003) :
https://cyber.gc.ca/fr/avis/exploitation-active-de-vulnerabilites-dans-citrix

Bulletin de sécurité Citrix (AV20-016) :
https://cyber.gc.ca/fr/avis/bulletin-de-securite-citrix-1

Bulletin de sécurité Citrix (AV20-020) :
https://cyber.gc.ca/fr/avis/bulletin-de-securite-citrix-2

TrustedSec NetScaler Honeypot :
https://www.trustedsec.com/blog/netscaler-honeypot/

Scanneur d’indicateurs de compromission publié par Citrix (CVE-2019-19781)
https://github.com/citrix/ioc-scanner-CVE-2019-19781 

NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

 

Date de modification :