Les utilisateurs de Citrix invités à patch cinq XE XenMobile

Citrix a publié cinq correctifs couvrant une série de vulnérabilités et d’expositions communes (CVE) récemment découvertes dans sa solution de gestion de la mobilité d’entreprise Citrix Endpoint Management (CEM), alias XenMobile, et exhorte les clients à mettre à jour leurs déploiements et à prendre de l’avance sur leur exploitation inévitable.

Décrit par Citrix comme critique, CVE-2020-8208, -8209, -8210, -8211 et -8212 affectent XenMobile Server versions 10.12 (avant le roulement patch deux), 10.11 (avant le roulement patch quatre), 10.10 (avant le roulement patch six, et 10,9 (avant le roulement patch). Les clients utilisant la version cloud de XenMobile ne sont pas affectés.

Citrix CISO Fermin Serna a déclaré: « Nous recommandons que ces mises à niveau soient effectuées immédiatement. Bien qu’il n’y ait pas d’exploits connus à partir de cette écriture, nous prévoyons que les acteurs malveillants se déplaceront rapidement à exploiter.

« À ce titre, avant le Bulletin de sécurité d’aujourd’hui, nous avons conseillé aux clients ayant une maintenance active actuelle d’appliquer les derniers correctifs roulants et nous avons vu une grande majorité suivre nos conseils.

« De plus, nous avons pré-informé un certain nombre de grands CERT à travers le monde », a-t-il déclaré.

« Des mesures correctives ont déjà été appliquées aux versions cloud, mais les utilisateurs de droits hybrides doivent appliquer les mises à niveau à n’importe quelle instance sur site. »

Les vulnérabilités auraient pu permettre aux attaquants de lire des fichiers arbitraires en dehors du répertoire racine du serveur Web – y compris les fichiers de configuration et les clés de chiffrement protégeant les données sensibles, sans avoir besoin d’autorisation, entre autres choses.

Andrey Medov, chercheur chez Positive Technologies, qui a découvert CVE-2020-8209 – qui est lié à Path Traversal et est le résultat d’une validation insuffisante des entrées, a déclaré: « L’exploitation de cette vulnérabilité permet aux pirates d’obtenir des informations qui peuvent être utiles pour briser le périmètre, comme le fichier de configuration stocke souvent les informations d’identification du compte de domaine pour l’accès LDAP.

« Grâce à l’accès au compte de domaine, un attaquant distant peut utiliser les données obtenues pour l’authentification sur d’autres ressources externes de l’entreprise, y compris le courrier d’entreprise, le VPN et les applications Web. Pire encore, un attaquant qui a réussi à lire le fichier de configuration peut accéder à des données sensibles, telles que le mot de passe de base de données (PostgreSQL local par défaut et une base de données SQL Server distante dans certains cas).

« Toutefois, compte tenu du fait que la base de données est stockée à l’intérieur du périmètre de l’entreprise et ne peut pas être consultée de l’extérieur, ce vecteur d’attaque ne peut être utilisé que dans des attaques complexes, par exemple, avec la participation d’un complice d’initié », a noté Medov.