Demandez une démo

Citrix NetScaler Zero-Day : comment atténuer les risques liés aux fournisseurs concernés

Utilisez ce questionnaire gratuit pour comprendre l'impact du bogue d'exécution de code à distance de Citrix sur vos fournisseurs, et suivez nos trois meilleures pratiques pour réduire vos risques.
Par :
Scott Lang
,
VP, Marketing produit
25 juillet 2023
Partager :
Blog nscaler zero day vuln 0723

À propos de la vulnérabilité Zero-Day de NetScaler

Citrix Systems a annoncé qu'en raison d'un bogue d'exécution de code à distance (RCE) du jour zéro, environ 15 000 serveurs NetScaler ADC et Gateway sont vulnérables aux attaques cyber. Les appareils vulnérables doivent être configurés en tant que passerelle (serveur virtuel VPN, ICA Proxy, CVPN, RDP Proxy) ou serveur virtuel d'authentification pour être vulnérables aux attaques.

Les acteurs de la menace ont commencé à annoncer la faille zero-day de Citrix ADC la première semaine de juillet sur un forum de pirates. Citrix a publié des mises à jour de sécurité pour corriger cette vulnérabilité RCE le 18 juillet 2023, en demandant instamment à ses clients d'installer les correctifs dès que possible. Depuis cette annonce, plusieurs organisations, dont l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), ont recommandé aux entreprises de prendre des mesures immédiates pour remédier à cette vulnérabilité.

Dans ce billet, nous recommandons cinq questions à poser à vos fournisseurs tiers pour déterminer leur utilisation de NetScaler et comprendre leur réponse à tout incident de sécurité connexe. Nous partageons également trois bonnes pratiques pour mieux automatiser la réponse aux incidents tiers de votre organisation.

5 questions à poser aux fournisseurs sur la vulnérabilité de NetScaler

Utilisez cette brève évaluation pour déterminer l'exposition de vos fournisseurs tiers (et donc de votre organisation) au jour zéro NetScaler. Vous pouvez ensuite établir une pondération des risques par réponse pour évaluer la criticité de l'exposition et vous concentrer sur les fournisseurs présentant le risque le plus élevé.

Questions Réponses potentielles

1) L'organisation utilise-t-elle un ADC NetScaler et une passerelle NetScaler gérés par le client ?

Texte de l'aide : À la mi-juillet, Citrix a annoncé qu'une faille de haute gravité avait été découverte dans ses produits NetScaler ADC et NetScaler Gateway gérés par les clients. Cette vulnérabilité pourrait permettre à un attaquant distant non authentifié d'exécuter un code arbitraire sur un périphérique affecté.

Des mises à jour de sécurité concernant cette vulnérabilité ont été publiées le 18 juillet.

Veuillez choisir l'une des options suivantes :

a) Oui, l'organisation utilise NetScaler ADC (Citrix ADC) et/ou NetScaler Gateway.

b) Non, l'organisation n'utilise pas NetScaler ADC (Citrix ADC) et/ou NetScaler Gateway.

2) L'organisation a-t-elle été touchée par la vulnérabilité de l'injection de code Citrix ?

Texte d'aide : Il convient de tenir compte de l'endroit où l'impact s'est produit, ainsi que du niveau de l'impact.

Veuillez choisir l'une des options suivantes :

a) Il y a eu un impact significatif sur nos systèmes, applications ou informations critiques.
Impact significatif : La vulnérabilité a entraîné une perte de confidentialité ou d'intégrité des données.

b) L'impact sur nos systèmes, applications ou informations critiques est élevé.
Impact élevé : La disponibilité du système a été périodiquement perdue, ainsi qu'une certaine perte de confidentialité ou d'intégrité des données.

c) L'impact sur nos systèmes, applications ou informations critiques est faible.
Faible impact : Pas de perte de confidentialité ou d'intégrité des données ; perturbation minimale ou inexistante de la disponibilité du système.

d) L'attaque cyber n'a pas eu d'impact sur nos systèmes, applications ou informations critiques.

3. Lorsque NetScaler ADC ou NetScaler Gateway est utilisé, l'organisation a-t-elle pris les mesures recommandées par le fournisseur de la solution (Citrix) pour remédier à la vulnérabilité ?

Texte d'aide : Citrix a vivement conseillé aux entreprises d'installer les versions les plus récentes de NetScaler ADC et NetScaler Gateway dès que possible.

Les recommandations peuvent être consultées sur le site web d'assistance de Citrix.

Veuillez sélectionner tous les éléments qui s'appliquent.

a) L'organisation a identifié son fonctionnement avec une version impactée de NetScaler ADC et/ou NetScaler Gateway.

b) Les derniers correctifs et mises à jour ont été apportés à l'ADC NetScaler et/ou à la passerelle NetScaler.

4. La compromission affecte-t-elle les services essentiels fournis au client ?

Veuillez choisir l'une des options suivantes :

a) Oui

b) Non

5. Qui est désigné comme point de contact pour répondre aux questions supplémentaires ?

Veuillez indiquer le contact clé pour la gestion des informations et des incidents de cybersécurité.

Nom :

Titre :

Courriel :

Téléphone :

3 bonnes pratiques pour atténuer les incidents de sécurité des fournisseurs tiers

Bien qu'il ne soit pas possible d'éliminer tous les risques liés aux relations avec les fournisseurs, votre programme de gestion des risques liés aux tiers peut offrir la visibilité et l'automatisation nécessaires pour détecter et atténuer de manière proactive les risques susceptibles de perturber votre activité. Commencez par ces trois étapes :

1. Identifier les fournisseurs qui pourraient utiliser la technologie touchée.

Pour savoir quels sont les fournisseurs qui utilisent une technologie impactée, il faut d'abord savoir qui sont vos fournisseurs, ce qui implique la mise en place d'un inventaire centralisé des fournisseurs. Vous ne pouvez pas y parvenir en utilisant des feuilles de calcul ou en déléguant la gestion des fournisseurs à des équipes opérationnelles. Elle doit être centralisée dans un système accessible à toutes les personnes impliquées dans vos initiatives de gestion des fournisseurs. Votre système d'enregistrement central doit permettre l'importation de données relatives au profil des fournisseurs à partir de feuilles de calcul existantes ou via une connexion API à votre solution d'approvisionnement actuelle.

Une fois que vous avez centralisé tous vos fournisseurs, utilisez les questionnaires des fournisseurs soutenus par des capacités d'analyse passive pour vous aider à identifier les relations technologiques de quatrième partie. Dans ce cas particulier, cet exercice permettrait de savoir quels fournisseurs utilisent NetScaler. La collecte d'informations sur les technologies tierces déployées dans votre écosystème de fournisseurs permet d'identifier les organisations qui utilisent la technologie concernée, ce qui vous permet d'établir un ordre de priorité parmi les fournisseurs qui doivent faire l'objet d'évaluations supplémentaires.

2. Émettre des évaluations des risques spécifiques à un événement

Une fois que vous avez identifié les fournisseurs ayant déployé la technologie concernée dans leur environnement, engagez-les dans des évaluations simples et ciblées qui s'alignent sur les normes de sécurité connues et les meilleures pratiques telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes de sécurité potentielles. Les bonnes solutions d'évaluation fourniront des recommandations intégrées pour accélérer les mesures correctives et combler rapidement ces lacunes.

Commencez votre évaluation spécifique à l'événement en vous basant sur les cinq questions* que nous avons identifiées dans la section ci-dessus, en pondérant les réponses en fonction de la tolérance au risque de votre organisation :

* Il s'agit de questions de base destinées à fournir des informations initiales. Votre organisation peut choisir de poser des questions différentes ou supplémentaires.

3. Surveiller en permanence les fournisseurs touchés

Il est important de rester vigilant en permanence, non seulement pour les risques découlant du jour zéro NetScaler, mais aussi pour ceux qui découleront de la prochaine attaque. Commencez par surveiller Internet et le dark web à l'aide d'une surveillance continue sur cyber afin de révéler les listes d'informations d'identification volées à vendre et d'autres signes d'un incident de sécurité imminent.

Vos efforts de surveillance doivent porter sur les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et de piratages, ainsi que sur les nouvelles négatives. La surveillance du dark web a révélé cette vulnérabilité particulière sur un forum de pirates.

Vous pouvez surveiller plusieurs sources individuelles ou utiliser une solution qui unifie les informations provenant de plusieurs sources, centralise toutes les données relatives aux risques et les rend visibles pour les principales parties prenantes. Cette dernière approche vous permet de corréler les résultats de la surveillance continue avec les réponses de l'évaluation des risques afin de valider si les fournisseurs ont mis en place des contrôles ou non.

9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

Prochaines étapes : Activez votre programme de réponse aux incidents impliquant des tiers.

Si un incident de cybersécurité se produisait dans l'écosystème de vos fournisseurs, seriez-vous en mesure de comprendre rapidement ses implications et d'activer un plan de réponse à l'incident ? Le temps est un facteur essentiel dans la réponse aux incidents, c'est pourquoi le fait d'être plus proactif avec un plan de réponse aux incidents défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels des fournisseurs. Un plan programmatique de réponse aux incidents impliquant des tiers doit comprendre les éléments suivants

  • Une base de données centralisée des fournisseurs et des technologies sur lesquelles ils s'appuient.
  • Évaluations préétablies de la résilience, de la continuité et de la sécurité de l'entreprise afin d'évaluer la probabilité et l'impact d'un incident.
  • Notation et pondération pour aider à se concentrer sur les risques les plus importants.
  • Des recommandations intégrées pour remédier aux vulnérabilités potentielles
  • Rapports spécifiques aux parties prenantes pour répondre aux inévitables demandes du conseil d'administration.

Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à accélérer la découverte et l'atténuation des risques liés aux tiers, demandez une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo