Les attaques se multiplient malgré la disponibilité des correctifs
La grande image: Plus tôt cette année, une vulnérabilité critique a été découverte dans les produits NetScaler et NetGateway de Citrix Systems Inc., qui sont populaires parmi les administrateurs informatiques d’entreprise pour un large éventail de fonctions de sécurité, notamment l’équilibrage de charge, les pare-feu d’application et les services proxy. Nommé « Citrix Bleed », l’exploit permet aux pirates d’obtenir un accès non autorisé aux systèmes compromis en récupérant les cookies de session. Alors que la société a annoncé des correctifs le 10 octobre, de nouveaux rapports suggèrent que la vulnérabilité est désormais exploitée massivement par des groupes de ransomwares.
Tel que rapporté par Ars Technica, la vulnérabilité Citrix Bleed (suivi comme CVE-2023-4966) a été activement exploitée depuis août dernier, bien que le problème ait connu une croissance exponentielle ces dernières semaines. Selon le chercheur en cybersécurité Kevin Beaumont, « plusieurs organisations » signalent avoir constaté une exploitation généralisée de la vulnérabilité, avec environ 20 000 appareils Citrix compromis dont les jetons de session auraient été volés.
Selon la société de cybersécurité GreyNoise, les attaques provenaient de 135 adresses IP au 30 octobre, alors qu’il n’y avait que cinq adresses IP errantes la semaine dernière. La société de cybersécurité Shadowserver affirme qu’il existe environ 5 500 appareils non corrigés, mais on ne sait pas pourquoi ce nombre est bien inférieur à l’estimation de Beaumont de 20 000 appareils compromis.
Il convient de noter ici que les correctifs déployés par Citrix ne s’appliquent pas à la version 12.1 du firmware, car ces appareils ont atteint leur fin de vie (EoL). La décision de Citrix laisse des milliers d’appareils vulnérables, d’autant plus que de nouveaux attaquants apparaissent chaque jour. Cependant, la société affirme que les clients utilisant les services cloud gérés par Citrix ou l’authentification adaptative gérée par Citrix ne sont pas concernés par le problème.
On pense que la vulnérabilité est relativement facile à exploiter par simple rétro-ingénierie du correctif Citrix publié plus tôt ce mois-ci. De plus, plusieurs exploits de validation de principe sont disponibles en ligne, ce qui facilite encore davantage le travail des pirates. En fin de compte, Citrix Bleed reste un énorme casse-tête pour les entreprises et les gouvernements exécutant des appareils NetScaler et NetGateway, et la seule façon de résoudre le problème est d’installer le correctif disponible pour les appareils compatibles.
Pour les systèmes plus anciens qui ne disposent pas encore de correctif, le groupe de recherche sur la cybersécurité Mandiant de Google recommande une solution de contournement qui nécessite que les appareils disposent de « restrictions d’adresse IP d’entrée appliquées pour limiter l’exposition et la surface d’attaque ». Si un micrologiciel mis à jour est disponible, les chercheurs recommandent aux utilisateurs de l’installer immédiatement, puis de mettre fin à toutes les sessions actives et persistantes pour protéger leurs systèmes contre toute compromission.