Numéro : AL20-005
Date : 4 février 2019
OBJET
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
DÉTAILS
La Cybersecurity and Infrastructure Security Agency (CISA) a publié une alerte concernant l’enquête qu’elle mène relativement à la vulnérabilité CVE 2019-19781 touchant Citrix. Le Centre pour la cybersécurité aimerait attirer l’attention sur cette alerte, puisque celle-ci fournit de l’information importante aux propriétaires de systèmes et aux opérateurs, à qui il incombe de protéger les systèmes et les réseaux contre les cybermenaces. Le Centre pour la cybersécurité a déjà fait rapport sur ces vulnérabilités au cours des dernières semaines (voir la section Références). Or, le rapport de la CISA contient des renseignements supplémentaires détaillés.
Il est possible de consulter l’alerte de la CISA à l’adresse suivante :
https://www.us-cert.gov/ncas/alerts/aa20-031a
Advenant la découverte d’activités correspondant au contenu de cette alerte, les destinataires de la présente devraient communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).
ÉVALUATION
Compte tenu de la gravité de la vulnérabilité CVE-2019-19781 et de la facilité avec laquelle les auteurs de menace sont en mesure d’accéder au code nécessaire pour compromettre les dispositifs Citrix auxquels aucun correctif ni mesure d’atténuation n’a été appliqué, le Centre pour la cybersécurité recommande aux organismes qui n’ont pas encore appliqué de mesures ou de correctifs de tenir pour acquis qu’ils ont été compromis. Par ailleurs, le Centre pour la cybersécurité suggère fortement aux propriétaires de systèmes qui n’ont pas appliqué les correctifs ou mesures d’atténuation nécessaires de déconnecter immédiatement leurs appliances Citrix d’Internet et de réaliser une enquête complète de criminalistique numérique. Veuillez noter que l’application récente de mesures d’atténuation ou de correctifs n’élimine pas une compromission active qui a eu lieu pendant que l’appliance était vulnérable. Les indicateurs de compromission et les outils de détection des compromissions qui sont offerts par Citrix, par le Centre pour la cybersécurité, par la CISA et par d’autres chercheurs en cybersécurité ne sont pas exhaustifs. Ils devraient donc servir de point de départ pour réaliser une évaluation complète de criminalistique numérique.
INDICATEURS DE COMPROMISSION
Voici de nouveaux indicateurs de compromission signalés dans les sources ouvertes que le Centre pour la cybersécurité n’avait pas encore présentés dans ses rapports :
Monero Cryptominer
/var/tmp/netscalerd
MD5 : 5be9abbe208a1e03ef3def7f9fa816d3
MD5 : 08f76eb3d62d53bff131d2cb0af2773d
Porte dérobée (programmée en langage GO)
/var/tmp/nspps
MD5 : 568f7b1d6c2239e208ba97886acc0b1e
MD5 : 1c8c28e4db5ad7773da363146b10a340
RÉFÉRENCES
Bulletin de sécurité Citrix (AV19-291) :
https://cyber.gc.ca/fr/avis/bulletin-de-securite-citrix-0
Exploitation active de vulnérabilités dans Citrix (AL20-003) :
https://cyber.gc.ca/fr/avis/exploitation-active-de-vulnerabilites-dans-citrix
Bulletin de sécurité Citrix (AV20-016) :
https://cyber.gc.ca/fr/avis/bulletin-de-securite-citrix-1
Bulletin de sécurité Citrix (AV20-020) :
https://cyber.gc.ca/fr/avis/bulletin-de-securite-citrix-2
TrustedSec NetScaler Honeypot :
https://www.trustedsec.com/blog/netscaler-honeypot/
Scanneur d’indicateurs de compromission publié par Citrix (CVE-2019-19781)
https://github.com/citrix/ioc-scanner-CVE-2019-19781
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.