Les attaques du ransomware Lockbit utilisent des exploits accessibles au public pour la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pirater les systèmes de grandes organisations, voler des données et chiffrer des fichiers.

Bien que Citrix ait mis à disposition des correctifs pour CVE-2023-4966 il y a plus d’un mois, des milliers de points de terminaison exposés à Internet exécutent toujours des appliances vulnérables, dont beaucoup aux États-Unis.

Attaques Lockbit très médiatisées
Le chercheur en menaces Kevin Beaumont a suivi les attaques contre diverses entreprises, notamment la Banque industrielle et commerciale de Chine (ICBC), DP World, Allen & Overy et Boeing, et a découvert qu’elles avaient quelque chose en commun.

Il s’agit de serveurs Citrix exposés [1, 2] vulnérables à la faille Citrix Bleed, qui, selon lui, est exploitée par le groupe de ransomwares LockBit.

DP World exécutant le serveur Citrix vulnérable à la faille Citrix Bleed

Cela a en outre été confirmé par le Wall Street Journal, qui a obtenu un e-mail du Trésor américain envoyé à certains fournisseurs de services financiers, mentionnant que LockBit était responsable de la cyberattaque contre ICBC, réalisée en exploitant la faille Citrix Bleed.

Si LockBit a utilisé cette vulnérabilité pour pirater une entreprise, on pense qu’elle a probablement violé Boeing et DP World de la même manière.

Ces attaques sont probablement menées par une filiale de LockBit qui utilise largement cette vulnérabilité pour violer les réseaux plutôt que par l’opération de ransomware elle-même qui est à l’origine de l’attaque.

Comme LockBit est le plus grand Ransomware-as-a-Service, il fait appel à de nombreux affiliés qui ont toute discrétion sur la manière dont ils piratent les réseaux.

Comme nous l’avons vu avec un affilié ayant appartenu à la fois aux opérations GandCrab puis REvil, il n’est pas rare qu’un hacker se concentre sur une industrie ou une méthode d’accès initiale particulière.

Par exemple, un affilié de GandCrab/REvil s’est spécialisé dans l’exploitation de logiciels MSP [1, 2, 3] pour chiffrer des entreprises, et nous voyons probablement un affilié de LockBit utiliser la faille Citrix Bleed pour pénétrer massivement dans les réseaux.

Une surface d’attaque massive
Au moment de la rédaction de cet article, plus de 10 400 serveurs Citrix sont vulnérables au CVE-2023-4966, selon les conclusions du chercheur japonais sur les menaces Yutaka Sejiyama partagées avec Breachtrace.

La majorité des serveurs, 3 133, se trouvent aux États-Unis, suivis de 1 228 en Allemagne, 733 en Chine, 558 au Royaume-Uni, 381 en Australie, 309 au Canada, 301 en France, 277 en Italie, 252 en Espagne, 244 en aux Pays-Bas et 215 en Suisse.

Les analyses de Sejiyama ont révélé des serveurs vulnérables dans de grandes organisations critiques dans les pays ci-dessus et dans de nombreux autres pays, qui ne sont toujours pas corrigés pendant un mois complet après la divulgation publique de la faille critique.

Détails de Citrix Bleed
Citrix Bleed a été révélé le 10 octobre comme un problème de sécurité critique affectant Citrix NetScaler ADC et Gateway, permettant l’accès aux informations sensibles sur les appareils.

Mandiant a signalé que les acteurs malveillants ont commencé à exploiter Citrix Bleed fin août, alors que la faille de sécurité était encore de type Zero Day. Lors de ces attaques, les pirates ont utilisé des requêtes HTTP GET pour obtenir les cookies de session Netscaler AAA après l’étape d’authentification multifacteur (MFA).

Citrix a exhorté les administrateurs à protéger les systèmes contre ces attaques peu complexes et sans interaction. Le 25 octobre, la société externe de gestion de surfaces d’attaque AssetNote a publié un exploit de validation de principe démontrant comment les jetons de session peuvent être volés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *