ISGroup Conseil en Cybersécurité

CVE-2024-6235 : Contournement d’authentification critique dans la console Citrix NetScaler

En juillet 2024, Citrix a révélé une vulnérabilité de sécurité critique dans le logiciel NetScaler Console. Cette faille, présente dans la version 14.1 jusqu’à (mais n’incluant pas) la version 14.1-25.53, pourrait permettre à un utilisateur malveillant d’obtenir un accès administratif non autorisé. Bien qu’initialement décrite comme une simple « exposition d’informations », il a été constaté que la vulnérabilité permet aux attaquants de contourner complètement l’authentification, entraînant des risques significatifs pour les organisations utilisant les versions concernées du logiciel.

ProduitCitrix-NetScaler
Date2025-05-20 10:10:46
Informations
  • Tendance
  • Correctif disponible

Résumé technique

CVE-2024-6235 est une vulnérabilité critique (score CVSS v4 : 9.4) dans Citrix NetScaler Console 14.1, découlant d’une authentification incorrecte (CWE-287). La faille réside dans un point de terminaison API interne (/internal/v2/config/mps_secret/ADM_SESSIONID) qui contourne de manière inappropriée les contrôles de validation de session. Lorsque des en-têtes HTTP spécifiques sont envoyés (Tenant-Name: Owner, User-Name: nsroot, Mps-Internal-Request: true), un attaquant peut obtenir un ID de session administrative valide sans authentification.

Cet ID de session peut être réutilisé dans des requêtes API pour effectuer des actions administratives, telles que la création de nouveaux utilisateurs super admin. La vulnérabilité provient de la confiance accordée au processus interne mas_service, qui gère les requêtes HTTP/HTTPS sur les ports 80 et 443. L’accès à l’API interne ne nécessite pas d’en-têtes d’authentification ou de cookies de session, mais seulement une requête spécialement conçue.

Les chercheurs ont confirmé l’impact en créant de nouveaux comptes administratifs à l’aide de l’ID de session et ont observé que des jetons de requête supplémentaires (rand_key) étaient nécessaires pour les opérations modifiant l’état, comme la création d’utilisateurs. Avec une analyse plus approfondie, ces jetons pourraient potentiellement être contournés ou prédits.

Recommandations

  • Action immédiate : mettre à jour NetScaler Console vers la version 14.1-25.53 ou ultérieure, dans laquelle la vulnérabilité a été corrigée.

  • Segmentation du réseau : s’assurer que les interfaces de gestion (telles que NetScaler Console) ne sont pas exposées à Internet. Limiter l’accès aux seuls réseaux internes de confiance.

  • Surveillance : analyser les journaux pour identifier des modèles d’accès anormaux ou la création non autorisée d’utilisateurs, en particulier vers le point de terminaison interne /mps_secret/ADM_SESSIONID.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *