Désactiver les serveurs Citrix Gateway et Application Delivery Controller ? La cellule cybersécurité du gouvernement néerlandais recommande à certaines entreprises d’envisager cette solution.
L’un et l’autre produit abritent une faille critique (CVE-2019-19781)* que l’éditeur a signalée voilà un mois. Elle peut donner à des tiers l’accès à des réseaux locaux et la possibilité d’y exécuter du code sans authentification.
Les premiers correctifs ne devraient pas arriver avant le 20 janvier.
Face à la multiplication des codes d’exploitation, Citrix propose des mesures d’atténuation.
Problème, d’après le gouvernement néerlandais : ces mesures n’ont pas d’effet sur certaines versions des produits concernés. En l’occurrence, les builds 50.31 et 51.16 à 51.19 de Gateway et Application Delivery Control 12.1.
Citrix confirme… et ajoute que la vulnérabilité touche un troisième produit : l’appliance SD-WAN, dans son édition WANOP (Wan Optimization).
C’est dans ce contexte que le gouvernement néerlandais invite à couper provisoirement le cordon. Ou, à défaut, à renforcer la surveillance du réseau, notamment en établissant des listes noires et/ou blanches d’adresses IP.
Sur place, l’hôpital de Leeuwarden s’est coupé du réseau Internet après avoir constaté des tentatives d’intrusion.
* Toutes les versions de Gateway et d’Application Delivery Controller (anciennement exploités sous la marque NetScaler) sont touchées depuis la 10.5, dont la diffusion avait démarré en juin 2014.
Photo d’illustration © Citrix – CC BY-ND 2.0
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…