Citrix Systems a annoncé qu'en raison d'un bogue d'exécution de code à distance (RCE) du jour zéro, environ 15 000 serveurs NetScaler ADC et Gateway sont vulnérables aux attaques cyber. Les appareils vulnérables doivent être configurés en tant que passerelle (serveur virtuel VPN, ICA Proxy, CVPN, RDP Proxy) ou serveur virtuel d'authentification pour être vulnérables aux attaques.
Les acteurs de la menace ont commencé à annoncer la faille zero-day de Citrix ADC la première semaine de juillet sur un forum de pirates. Citrix a publié des mises à jour de sécurité pour corriger cette vulnérabilité RCE le 18 juillet 2023, en demandant instamment à ses clients d'installer les correctifs dès que possible. Depuis cette annonce, plusieurs organisations, dont l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), ont recommandé aux entreprises de prendre des mesures immédiates pour remédier à cette vulnérabilité.
Dans ce billet, nous recommandons cinq questions à poser à vos fournisseurs tiers pour déterminer leur utilisation de NetScaler et comprendre leur réponse à tout incident de sécurité connexe. Nous partageons également trois bonnes pratiques pour mieux automatiser la réponse aux incidents tiers de votre organisation.
Utilisez cette brève évaluation pour déterminer l'exposition de vos fournisseurs tiers (et donc de votre organisation) au jour zéro NetScaler. Vous pouvez ensuite établir une pondération des risques par réponse pour évaluer la criticité de l'exposition et vous concentrer sur les fournisseurs présentant le risque le plus élevé.
Questions | Réponses potentielles |
---|---|
1) L'organisation utilise-t-elle un ADC NetScaler et une passerelle NetScaler gérés par le client ? Texte de l'aide : À la mi-juillet, Citrix a annoncé qu'une faille de haute gravité avait été découverte dans ses produits NetScaler ADC et NetScaler Gateway gérés par les clients. Cette vulnérabilité pourrait permettre à un attaquant distant non authentifié d'exécuter un code arbitraire sur un périphérique affecté. Des mises à jour de sécurité concernant cette vulnérabilité ont été publiées le 18 juillet. |
Veuillez choisir l'une des options suivantes : a) Oui, l'organisation utilise NetScaler ADC (Citrix ADC) et/ou NetScaler Gateway. b) Non, l'organisation n'utilise pas NetScaler ADC (Citrix ADC) et/ou NetScaler Gateway. |
2) L'organisation a-t-elle été touchée par la vulnérabilité de l'injection de code Citrix ? Texte d'aide : Il convient de tenir compte de l'endroit où l'impact s'est produit, ainsi que du niveau de l'impact. |
Veuillez choisir l'une des options suivantes : a) Il y a eu un impact significatif sur nos systèmes, applications ou informations critiques. b) L'impact sur nos systèmes, applications ou informations critiques est élevé. c) L'impact sur nos systèmes, applications ou informations critiques est faible. d) L'attaque cyber n'a pas eu d'impact sur nos systèmes, applications ou informations critiques. |
3. Lorsque NetScaler ADC ou NetScaler Gateway est utilisé, l'organisation a-t-elle pris les mesures recommandées par le fournisseur de la solution (Citrix) pour remédier à la vulnérabilité ? Texte d'aide : Citrix a vivement conseillé aux entreprises d'installer les versions les plus récentes de NetScaler ADC et NetScaler Gateway dès que possible. Les recommandations peuvent être consultées sur le site web d'assistance de Citrix. |
Veuillez sélectionner tous les éléments qui s'appliquent. a) L'organisation a identifié son fonctionnement avec une version impactée de NetScaler ADC et/ou NetScaler Gateway. b) Les derniers correctifs et mises à jour ont été apportés à l'ADC NetScaler et/ou à la passerelle NetScaler. |
4. La compromission affecte-t-elle les services essentiels fournis au client ? |
Veuillez choisir l'une des options suivantes : a) Oui b) Non |
5. Qui est désigné comme point de contact pour répondre aux questions supplémentaires ? |
Veuillez indiquer le contact clé pour la gestion des informations et des incidents de cybersécurité. Nom : Titre : Courriel : Téléphone : |
Bien qu'il ne soit pas possible d'éliminer tous les risques liés aux relations avec les fournisseurs, votre programme de gestion des risques liés aux tiers peut offrir la visibilité et l'automatisation nécessaires pour détecter et atténuer de manière proactive les risques susceptibles de perturber votre activité. Commencez par ces trois étapes :
Pour savoir quels sont les fournisseurs qui utilisent une technologie impactée, il faut d'abord savoir qui sont vos fournisseurs, ce qui implique la mise en place d'un inventaire centralisé des fournisseurs. Vous ne pouvez pas y parvenir en utilisant des feuilles de calcul ou en déléguant la gestion des fournisseurs à des équipes opérationnelles. Elle doit être centralisée dans un système accessible à toutes les personnes impliquées dans vos initiatives de gestion des fournisseurs. Votre système d'enregistrement central doit permettre l'importation de données relatives au profil des fournisseurs à partir de feuilles de calcul existantes ou via une connexion API à votre solution d'approvisionnement actuelle.
Une fois que vous avez centralisé tous vos fournisseurs, utilisez les questionnaires des fournisseurs soutenus par des capacités d'analyse passive pour vous aider à identifier les relations technologiques de quatrième partie. Dans ce cas particulier, cet exercice permettrait de savoir quels fournisseurs utilisent NetScaler. La collecte d'informations sur les technologies tierces déployées dans votre écosystème de fournisseurs permet d'identifier les organisations qui utilisent la technologie concernée, ce qui vous permet d'établir un ordre de priorité parmi les fournisseurs qui doivent faire l'objet d'évaluations supplémentaires.
Une fois que vous avez identifié les fournisseurs ayant déployé la technologie concernée dans leur environnement, engagez-les dans des évaluations simples et ciblées qui s'alignent sur les normes de sécurité connues et les meilleures pratiques telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes de sécurité potentielles. Les bonnes solutions d'évaluation fourniront des recommandations intégrées pour accélérer les mesures correctives et combler rapidement ces lacunes.
Commencez votre évaluation spécifique à l'événement en vous basant sur les cinq questions* que nous avons identifiées dans la section ci-dessus, en pondérant les réponses en fonction de la tolérance au risque de votre organisation :
* Il s'agit de questions de base destinées à fournir des informations initiales. Votre organisation peut choisir de poser des questions différentes ou supplémentaires.
Il est important de rester vigilant en permanence, non seulement pour les risques découlant du jour zéro NetScaler, mais aussi pour ceux qui découleront de la prochaine attaque. Commencez par surveiller Internet et le dark web à l'aide d'une surveillance continue sur cyber afin de révéler les listes d'informations d'identification volées à vendre et d'autres signes d'un incident de sécurité imminent.
Vos efforts de surveillance doivent porter sur les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et de piratages, ainsi que sur les nouvelles négatives. La surveillance du dark web a révélé cette vulnérabilité particulière sur un forum de pirates.
Vous pouvez surveiller plusieurs sources individuelles ou utiliser une solution qui unifie les informations provenant de plusieurs sources, centralise toutes les données relatives aux risques et les rend visibles pour les principales parties prenantes. Cette dernière approche vous permet de corréler les résultats de la surveillance continue avec les réponses de l'évaluation des risques afin de valider si les fournisseurs ont mis en place des contrôles ou non.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Si un incident de cybersécurité se produisait dans l'écosystème de vos fournisseurs, seriez-vous en mesure de comprendre rapidement ses implications et d'activer un plan de réponse à l'incident ? Le temps est un facteur essentiel dans la réponse aux incidents, c'est pourquoi le fait d'être plus proactif avec un plan de réponse aux incidents défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels des fournisseurs. Un plan programmatique de réponse aux incidents impliquant des tiers doit comprendre les éléments suivants
Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à accélérer la découverte et l'atténuation des risques liés aux tiers, demandez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024