LockBit a été observé en train d’exploiter la faille critique « Citrix Bleed »

Ecrit par | Cyber Sécurité

Le tristement célèbre groupe de ransomwares LockBit a été observé en train d’exploiter une vulnérabilité critique de Citrix NetScaler ADC et NetScaler Gateway, appelée « Citrix Bleed », augmentant ainsi l’urgence pour les entreprises de mettre à jour les correctifs.

Le mois dernier, Citrix a divulgué et corrigé deux vulnérabilités non authentifiées liées aux tampons, identifiées comme CVE-2023-4966 et CVE-2023-4967, qui affectaient ses produits NetScaler ADC et NetScaler Gateway, que les entreprises utilisent pour sécuriser les pare-feu et les VPN. Peu de temps après, Mandiant a confirmé avoir observé une exploitation zero-day de CVE-2023-4966 à partir du mois d’août, mais la menace a continué de s’intensifier.

CISA a ajouté CVE-2023-4966, communément appelé Citrix Bleed, au catalogue des vulnérabilités exploitées connues le 18 octobre. L’agence a ensuite publié une alerte la semaine dernière réitérant l’urgence pour les organisations d’appliquer des mesures d’atténuation. Plus alarmant encore, la CISA a confirmé que l’avis était « en réponse à une exploitation active et ciblée » de CVE-2023-4966 et qu’une exploitation réussie pourrait permettre à un attaquant de prendre le contrôle du système affecté.

Des recherches supplémentaires menées par GreyNoise ont montré que les acteurs malveillants continuent de cibler le CVE-2023-4966. Le fournisseur de sécurité a observé mercredi 48 adresses IP tentant d’exploiter la vulnérabilité.

Dans un autre rapport mercredi, le Centre de partage et d’analyse d’informations sur les services financiers (FS-ISAC) a lié le déploiement du ransomware LockBit à l’exploitation de Citrix Bleed. Le rapport, intitulé « LockBit : accès, chiffrement, exfiltration et atténuation », détaille l’activité récente de LockBit et propose des mesures concrètes pour les entreprises. FS-ISAC a qualifié LockBit de « l’un des groupes de ransomwares les plus prolifiques au monde ».

Le groupe de ransomwares a conservé une place constante sur la liste des principaux acteurs menaçants du groupe NCC, et pour cause. La semaine dernière, LockBit a revendiqué une attaque contre Boeing en publiant des données prétendument volées sur son site de fuite de données.

Le rapport FS-ISAC a mis en évidence plusieurs risques associés à l’exploitation de Citrix Bleed. Par exemple, les attaquants pourraient voler les jetons d’authentification des instances exposées pour détourner les sessions des utilisateurs. De plus, les organisations qui ont déjà appliqué des correctifs pourraient toujours être exposées à des risques.

« Les jetons de session compromis peuvent ensuite être utilisés pour usurper l’identité de sessions actives, qui contournent l’authentification (même multifacteur) et obtenir un accès complet à l’appliance. Cette vulnérabilité peut toujours se produire même si la vulnérabilité est corrigée et redémarrée, car les jetons copiés le feront. restent valables à moins que des mesures supplémentaires ne soient prises », écrit le FS-ISAC dans le rapport.

FS-ISAC a également décrit l’activité d’exploitation du CVE-2023-4966 divulguée par les intervenants en cas d’incident. Des attaquants ont été observés en train d’effectuer une reconnaissance du réseau, de voler des informations d’identification et de se déplacer latéralement via le protocole RDP (Remote Desktop Protocol), un vecteur d’attaque populaire. De plus, les adversaires ont déployé des outils de surveillance et de gestion à distance.

Cependant, l’activité la plus importante concernait le ransomware LockBit. FS-ISAC a déclaré que les intervenants en cas d’incident ont observé « des infections de ransomware très médiatisées provenant de LockBit » lors d’activités d’intrusion post-Citrix Bleed.

Lundi, dans un article de blog, le chercheur en sécurité Kevin Beaumont a partagé les observations qu’il a faites lors du suivi de l’activité de LockBit contre les gouvernements, les banques et les cabinets d’avocats. Beaumont a déclaré que les recherches de Shodan ont révélé des instances non corrigées de NetScaler ADC et NetScaler Gateway dans des organisations que LockBit prétendait avoir attaquées, notamment la Banque industrielle et commerciale de Chine (ICBC). Cependant, ICBC n’a pas confirmé que LockBit était à l’origine de l’attaque du ransomware ou que les acteurs malveillants avaient exploité Citrix Bleed.

En plus de l’exploitation de Citrix Bleed, le rapport FS-ISAC a sensibilisé aux vecteurs d’accès initial préférés de LockBit, tels que l’exploitation RDP, la compromission drive-by, les campagnes de phishing, l’abus de comptes valides et l’exploitation d’applications publiques. Le rapport prévient que même si les outils LockBit ciblent fréquemment les systèmes Windows, Linux, macOS et VMware ESXi pourraient également être menacés.

FS-ISAC a exhorté les entreprises à corriger Citrix Bleed ainsi que d’autres vulnérabilités que LockBit est connu pour exploiter, notamment la faille d’exécution de code à distance Fortra GoAnywhere Managed File Transfer, suivie comme CVE-2023-0669. D’autres recommandations pour se défendre globalement contre les attaques de ransomware comprenaient l’activation de protocoles d’authentification multifactoriels résistants au phishing, la mise en œuvre d’un plan de récupération proactif, la désactivation des ports inutilisés et la mise en œuvre d’une segmentation du réseau.

Last modified: 16 novembre 2023