Des milliers d’entreprises pourraient être menacées par un zero-day Citrix activement exploité dont les pirates ont déjà abusé pour cibler au moins une organisation d’infrastructure critique aux États-Unis.
La semaine dernière, Citrix a tiré la sonnette d’alarme concernant la faille classée critique, suivie sous le nom de CVE-2023-3519 avec une cote de gravité de 9,8 sur 10, qui affecte les appareils NetScaler ADC et NetScaler Gateway. Ces produits destinés aux entreprises sont conçus pour fournir des applications sécurisées et fournir une connectivité VPN, et sont largement utilisés dans le monde entier, en particulier au sein des organisations d’infrastructures critiques.
Citrix a averti que le jour zéro pourrait permettre à un attaquant distant non authentifié d’exécuter du code arbitraire sur un appareil et a déclaré avoir des preuves que la vulnérabilité a été exploitée à l’état sauvage. Citrix a publié des mises à jour de sécurité pour la vulnérabilité le 18 juillet et exhorte les clients à installer les correctifs dès que possible.
Quelques jours après l’avertissement de Citrix, l’agence américaine de cybersécurité CISA a révélé que la vulnérabilité avait été exploitée contre une organisation d’infrastructure critique américaine en juin et avait été signalée à l’agence plus tôt en juillet.
La CISA a déclaré que les pirates ont exploité la faille pour déposer un webshell sur l’appliance NetScaler ADC de l’organisation, leur permettant de collecter et d’exfiltrer des données de l’Active Directory de l’organisation, y compris des informations sur les utilisateurs, les groupes, les applications et les appareils sur le réseau. Mais comme l’appliance ciblée était isolée au sein du réseau de l’organisation, les pirates n’ont pas pu se déplacer latéralement et compromettre le contrôleur de domaine.
Bien que cette organisation ait réussi à éloigner les pirates ciblant ses systèmes, des milliers d’autres organisations pourraient être en danger. La Shadowserver Foundation, une organisation à but non lucratif qui travaille à rendre Internet plus sûr, dit qu’il a trouvé plus de 15 000 serveurs Citrix dans le monde risquent d’être compromis à moins que des correctifs ne soient appliqués.
Le plus grand nombre de serveurs non corrigés sont basés aux États-Unis (5 700), suivis de l’Allemagne (1 500), du Royaume-Uni (1 000) et de l’Australie (582), selon leur analyse.
On ne sait pas encore qui est à l’origine de l’exploitation de cette vulnérabilité, mais les vulnérabilités de Citrix sont connues pour être exploitées à la fois par des cybercriminels à motivation financière et des acteurs de la menace parrainés par l’État, y compris des groupes liés à la Chine.
Dans un article de blog publié au cours du week-end, les chercheurs de Mandiant ont déclaré que même s’ils ne peuvent pas encore attribuer les intrusions à un groupe de menaces connu, l’activité est « cohérente avec les opérations précédentes des acteurs du lien avec la Chine basées sur des capacités et des actions connues contre Citrix ADC en 2022 ». Mandiant a ajouté que les intrusions font probablement partie d’une campagne de collecte de renseignements, notant que les acteurs de la menace motivés par l’espionnage continuent de cibler des technologies qui ne prennent pas en charge les solutions de détection et de réponse des terminaux, telles que les pare-feu, les appareils IoT, les hyperviseurs et les VPN.
« Mandiant a enquêté sur des dizaines d’intrusions dans la base industrielle de la défense (DIB), le gouvernement, la technologie et les organisations de télécommunications au fil des ans, où des groupes présumés liés à la Chine ont exploité des vulnérabilités de jour zéro et déployé des logiciels malveillants personnalisés pour voler les informations d’identification des utilisateurs et maintenir un accès à long terme aux environnements victimes », ont déclaré les chercheurs.