Les clients de Citrix sont invités à appliquer les correctifs alors qu’un groupe de ransomwares s’attribue le mérite du piratage d’entreprises de renom
Les chercheurs en sécurité disent Les pirates informatiques exploitent massivement une vulnérabilité critique des systèmes Citrix NetScaler pour lancer des cyberattaques paralysantes contre de grandes organisations du monde entier.
Ces cyberattaques ont jusqu’à présent concerné le géant de l’aérospatiale Boeing ; la plus grande banque du monde, ICBC ; l’un des plus grands opérateurs portuaires au monde, DP World ; et le cabinet d’avocats international Allen & Overy, selon les rapports.
Des milliers d’autres organisations ne disposent toujours pas de correctifs contre cette vulnérabilité, officiellement identifiée comme CVE-2023-4966 et surnommée « CitrixBleed ». La majorité des systèmes concernés sont situés en Amérique du Nord, selon la Shadowserver Foundation, une organisation à but non lucratif de suivi des menaces. L’agence de cybersécurité du gouvernement américain, CISA, a également tiré la sonnette d’alarme dans un avis exhortant les agences fédérales à corriger cette faille activement exploitée.
Voici ce que nous savons jusqu’à présent.
Qu’est-ce que CitrixBleed ?
Le 10 octobre, le fabricant d’équipements réseau Citrix a révélé la vulnérabilité affectant les versions sur site de ses plates-formes NetScaler ADC et NetScaler Gateway, que les grandes entreprises et les gouvernements utilisent pour la fourniture d’applications et la connectivité VPN.
La faille est décrite comme une vulnérabilité de divulgation d’informations sensibles qui permet à des attaquants distants non authentifiés d’extraire de grandes quantités de données de la mémoire d’un appareil Citrix vulnérable, y compris des jetons de session sensibles (d’où le nom « CitrixBleed »). Le bug nécessite peu d’efforts ou de complexité à exploiter, permettant aux pirates de détourner et d’utiliser des jetons de session légitimes pour compromettre le réseau d’une victime sans avoir besoin d’un mot de passe ni utiliser deux facteurs.
Citrix a publié des correctifs, mais une semaine plus tard, le 17 octobre, a mis à jour son avis pour indiquer qu’il avait observé une exploitation dans la nature.
Les premières victimes comprenaient des services professionnels, des technologies et des organisations gouvernementales, selon le géant de la réponse aux incidents Mandiant, qui a déclaré avoir commencé à enquêter après avoir découvert « plusieurs cas d’exploitation réussie » dès la fin août, avant que Citrix ne mette à disposition des correctifs.
Robert Knapp, responsable de la réponse aux incidents chez la société de cybersécurité Rapid7 – qui a également commencé à enquêter sur le bug après avoir détecté une exploitation potentielle du bug dans le réseau d’un client – a déclaré que la société avait également observé des attaquants ciblant des organisations des secteurs de la santé, de l’industrie et de la vente au détail.
« Les intervenants de Rapid7 ont observé à la fois des mouvements latéraux et des accès aux données au cours de nos enquêtes », a déclaré Knapp, suggérant que les pirates informatiques sont en mesure d’obtenir un accès plus large au réseau et aux données des victimes après une compromission initiale.
Des victimes de renom
La société de cybersécurité ReliaQuest a déclaré la semaine dernière qu’elle disposait de preuves qu’au moins quatre groupes de menaces – qu’elle n’a pas nommés – exploitaient CitrixBleed, avec au moins un groupe automatisant le processus d’attaque.
L’un des acteurs de la menace serait le gang de ransomware LockBit, lié à la Russie, qui a déjà revendiqué la responsabilité de plusieurs violations à grande échelle soupçonnées d’être associées à CitrixBleed.
Le chercheur en sécurité Kevin Beaumont a écrit mardi dans un article de blog que le gang LockBit a piraté la semaine dernière la succursale américaine de la Banque industrielle et commerciale de Chine (ICBC) – considérée comme le plus grand prêteur au monde en termes d’actifs – en compromettant une boîte Citrix Netscaler non corrigée. La panne a perturbé la capacité du géant bancaire à compenser les transactions. Selon Bloomberg mardi, l’entreprise n’a pas encore rétabli ses opérations normales.
ICBC, qui aurait payé la demande de rançon de LockBit, a refusé de répondre aux questions de TechCrunch, mais a déclaré dans un communiqué sur son site Web qu’elle « avait subi une attaque de ransomware » qui « avait entraîné une perturbation de certains systèmes ».
Un représentant de LockBit a déclaré lundi à Reuters qu’ICBC « avait payé une rançon – accord conclu », mais n’avait pas fourni de preuve de sa réclamation. LockBit aussi a déclaré au groupe de recherche sur les logiciels malveillants vx-underground qu’ICBC a payé une rançon, mais a refusé de dire quel montant.
Beaumont a déclaré dans un article sur Mastodon que Boeing disposait également d’un système Citrix Netscaler non corrigé au moment de sa violation de LockBit, citant des données de Shodan, un moteur de recherche de bases de données et d’appareils exposés.
Le porte-parole de Boeing, Jim Proulx, a précédemment déclaré à TechCrunch que la société était « au courant d’un cyber-incident affectant des éléments de nos activités de pièces détachées et de distribution », mais ne ferait aucun commentaire sur la prétendue publication par LockBit de données volées.
Allen & Overy, l’un des plus grands cabinets d’avocats au monde, utilisait également un système Citrix concerné au moment de sa compromission, a noté Beaumont. LockBit a ajouté Boeing et Allen & Overy à son site de fuite sur le Dark Web, que les gangs de ransomwares utilisent généralement pour extorquer les victimes en publiant des fichiers à moins que les victimes ne paient une demande de rançon.
La porte-parole d’Allen & Overy, Debbie Spitz, a confirmé que le cabinet d’avocats avait subi un « incident de données » et a déclaré qu’il « évaluait exactement quelles données ont été affectées, et nous informons les clients concernés ».
Le gang du ransomware Medusa exploite également CitrixBleed pour compromettre les organisations ciblées, a déclaré Beaumont.
« Nous nous attendons à ce que CVE-2023-4966 soit l’une des vulnérabilités les plus régulièrement exploitées à partir de 2023 », a déclaré Caitlin Condon, responsable de la recherche sur les vulnérabilités chez Rapid7, à TechCrunch.