Des centaines de serveurs Citrix Netscaler ADC et Gateway ont déjà été piratés et détournés dans une série d’attaques ciblant une vulnérabilité critique d’exécution de code à distance (RCE) identifiée comme CVE-2023-3519.
La vulnérabilité était auparavant exploitée comme un jour zéro pour violer le réseau d’une organisation d’infrastructure critique aux États-Unis.
Les chercheurs en sécurité de la Shadowserver Foundation, une organisation à but non lucratif dédiée à l’amélioration de la sécurité Internet, ont maintenant révélé que les attaquants avaient déployé des shells Web sur au moins 640 serveurs Citrix lors de ces attaques.
« Nous pouvons dire que c’est un China Chopper assez standard, mais nous ne voulons pas en divulguer plus dans les circonstances. Je peux dire que le montant que nous détectons est bien inférieur au montant que nous pensons être là-bas, malheureusement », a déclaré le PDG de Shadowserver, Piotr Kijewski, à Breachtrace.
« Nous signalons des appliances compromises avec des webshells dans votre réseau (640 pour le 30/07/2023). Nous sommes déjà au courant de l’exploitation généralisée qui s’est produite le 20 juillet », a déclaré Shadowserver sur sa liste de diffusion publique.
« Si vous n’avez pas corrigé d’ici là, veuillez supposer un compromis. Nous pensons que le nombre réel de webshells liés à CVE-2023-3519 est bien supérieur à 640. »
Il y a environ deux semaines, le nombre d’appliances Citrix vulnérables aux attaques CVE-2023-3519 s’élevait à environ 15 000. Cependant, ce nombre est depuis tombé à moins de 10 000, ce qui indique des progrès dans l’atténuation de la vulnérabilité.
Citrix a publié des mises à jour de sécurité le 18 juillet pour remédier à la vulnérabilité RCE, reconnaissant que des exploits avaient été observés sur des appliances vulnérables et exhortant les clients à installer les correctifs sans délai.
La vulnérabilité affecte principalement les appliances Netscaler non corrigées configurées en tant que passerelles (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou serveurs virtuels d’authentification (serveur AAA).
En plus de traiter CVE-2023-3519, Citrix a également corrigé deux autres vulnérabilités très graves le même jour, CVE-2023-3466 et CVE-2023-3467, qui pourraient être exploitées pour des attaques par script intersite réfléchi (XSS) et élévation de privilèges à la racine.
En réponse aux attaques en cours, la CISA a ordonné aux agences fédérales américaines de sécuriser les serveurs Citrix sur leurs réseaux d’ici le 9 août.
L’avertissement a également souligné que la vulnérabilité avait déjà été exploitée pour violer les systèmes d’une organisation d’infrastructure critique américaine.
« En juin 2023, les acteurs de la menace ont exploité cette vulnérabilité comme un jour zéro pour déposer un webshell sur l’appliance NetScaler ADC d’une organisation d’infrastructure critique », a déclaré CISA.
« Le webshell a permis aux acteurs d’effectuer une découverte sur le répertoire actif (AD) de la victime et de collecter et d’exfiltrer les données AD. Les acteurs ont tenté de se déplacer latéralement vers un contrôleur de domaine, mais les contrôles de segmentation du réseau pour l’appliance ont bloqué le mouvement. »
Les gangs de ransomwares, dont REvil et DoppelPaymer, ont profité des vulnérabilités similaires de Citrix Netscaler ADC et Gateway pour violer les réseaux d’entreprise lors d’attaques passées.
Cela met en évidence le besoin pressant des équipes de sécurité de faire de la correction des serveurs Citrix une priorité absolue sur leurs listes de tâches.