Qu’ont en commun Boeing, une compagnie maritime australienne, la plus grande banque du monde et l’un des plus grands cabinets d’avocats au monde ? Tous les quatre ont subi des failles de cybersécurité, très probablement aux mains de pirates informatiques adolescents, après avoir échoué à corriger une vulnérabilité critique contre laquelle les experts en sécurité avaient mis en garde pendant plus d’un mois, selon un article publié lundi.
Outre le constructeur américain d’avions de ligne, les victimes incluent DP World, la branche australienne de la société de logistique DP World basée à Dubaï ; Banque industrielle et commerciale de Chine; et Allen & Overy, un cabinet d’avocats multinational, selon Kevin Beaumont, chercheur indépendant en sécurité possédant l’une des vues les plus complètes du paysage de la cybersécurité. Les quatre sociétés ont confirmé avoir succombé à des incidents de sécurité ces derniers jours, et la société chinoise ICBC aurait payé une rançon non divulguée en échange de clés de cryptage de données qui sont depuis indisponibles.
Citant des données permettant de suivre les opérateurs de ransomware et les personnes familiarisées avec les violations, Beaumont a déclaré que les quatre sociétés faisaient partie des 10 victimes dont il sait qu’elles sont actuellement extorquées par LockBit, l’un des syndicats criminels de ransomware les plus prolifiques et les plus dommageables au monde. Selon Beaumont, les quatre sociétés utilisaient un produit réseau connu sous le nom de Citrix Netscaler et n’avaient pas corrigé une vulnérabilité critique malgré la disponibilité d’un correctif depuis le 10 octobre.
Surnommée CitrixBleed et présentant un indice de gravité de 9,4 sur 10 possibles, la vulnérabilité facile à exploiter expose des jetons de session qui permettent de contourner tous les contrôles d’authentification multifacteur au sein d’un réseau vulnérable. Les attaquants se retrouvent avec l’équivalent d’un ordinateur de bureau pointer-cliquer sur le réseau interne de la victime concernée, où ils sont ensuite libres de se déplacer.
Beaumont a écrit :
Les groupes de ransomwares sont souvent composés exclusivement d’adolescents et n’ont pas été pris au sérieux depuis bien trop longtemps en tant que menace. Ils constituent une menace pour la société civile tant que les organisations continuent de payer.
Se concentrer sur les fondamentaux de la cybersécurité pour les organisations à l’échelle de l’entreprise est un défi, car souvent les gens courent après la prochaine grande nouveauté perçue – le métaverse (vous vous en souvenez ?), les NFT, l’IA générative – sans être en mesure de bien maîtriser les fondamentaux. Les grandes entreprises doivent être en mesure de corriger rapidement les vulnérabilités telles que CitrixBleed.
La réalité de la cybersécurité dans laquelle nous vivons aujourd’hui est que des adolescents font partie de gangs du crime organisé armés de bazookas numériques. Ils ont probablement un meilleur inventaire des actifs de votre réseau que vous, et ils n’ont pas besoin d’attendre 4 semaines pour que 38 personnes approuvent une demande de modification pour corriger 1 chose.
Connaissez les limites de votre réseau et vos produits à risque ainsi que LockBit. Vous devez être en mesure d’identifier et de corriger quelque chose comme CitrixBleed dans les 24 heures. Si vous n’y parvenez pas, il est très possible que ce ne soit pas le produit idéal pour votre organisation en raison du niveau de risque qu’il représente, et vous devez repensez si l’architecture de votre maison est adaptée à son usage.
Les fournisseurs comme Citrix doivent avoir des déclarations d’intention claires pour sécuriser leurs produits, car pour de nombreuses organisations, accumuler patch après patch après patch n’est pas viable – ou les clients devraient opter avec leur portefeuille pour des solutions plus éprouvées. La réalité est que de nombreux fournisseurs proposent des produits électroménagers dont les normes de cybersécurité sont pires qu’au début de ma carrière à la fin des années 90, tout en se présentant comme des experts. Le marketing est une sacrée drogue.
Beaumont a cité les résultats de requête renvoyés par le service de recherche Shodan qui indiquaient que les quatre organisations n’avaient pas corrigé CitrixBleed au moment où elles ont été piratées. La vulnérabilité est suivie comme CVE-2023-4966.