13 jours, c’est le temps nécessaire à Xfinity pour corriger la faille Citrix Bleed. Une période pendant laquelle des cybercriminels ont eu le temps de récolter un maximum de données sensibles. L’activité câble de l’opérateur américain Comcast a en effet alerté sur une violation de données, qui selon la notification  concernerait environ 36 millions de clients. Après enquête, les informations dérobées comprennent les noms d’utilisateurs et les mots de passe. Pour certains abonnés, d’autres informations sont concernées comme des noms, des coordonnées, des dates de naissance, des portions de numéros de sécurité sociale et les réponses à des questions de sécurité secrètes.

Vulnérabilités de NetScaler

Citrix a précédemment demandé aux clients de NetScaler ADC et NetScaler Gateway d'installer des versions mises à jour des produits réseau afin d'empêcher l'exploitation des vulnérabilités. Développés par Citrix, les outils NetScaler ADC (Application Delivery Controller) et NetScaler Gateway sont destinés à améliorer les performances, la sécurité et la disponibilité des applications et des services réseau. Le 10 octobre, Citrix a révélé des vulnérabilités dans ces produits, référencées CVE-2023-4966 et CVE-2023-4967, qu’elle décrit comme des problèmes de « mémoire tampon non authentifiée ». Avec un score CVSS de 9,4, donc hautement critique, la CVE-2023-4966 est liée à la divulgation d'informations critiques, indiquant sa gravité certaine. AssetNote, une entreprise de cybersécurité spécialisée dans la détection et la gestion des risques de sécurité dans les applications web et les actifs numériques, a publié sur GitHub une preuve de concept (POC) pour la brèche Citrix Bleed. 

Selon Neil Jones, directeur de la cybersécurité chez Egnyte, la faille a été particulièrement efficace, car elle a été exploitée précédemment pour déployer le ransomware LockBit 3.0. « La large empreinte de déploiement de NetScaler combinée au potentiel d'attaque des ransomwares constitue un cocktail parfait du point de vue de la cyber-infection », a-t-il ajouté. Citrix invite les utilisateurs à mettre à jour leurs équipements afin de résoudre les problèmes de sécurité. L'entreprise précise aussi que la version 12.1 de ces produits n'est plus supportée. Citrix recommande donc à ses clients de passer à des versions plus récentes non affectées par ces problèmes de sécurité.

Citrix est un outil populaire pour les sessions de bureau à distance ou la fourniture d'applications. « Certaines entreprises exposent leurs serveurs Citrix Metaframe à Internet pour l'accès à distance, car c’est une solution bon marché », a fait remarquer Andrew Barratt, vice-président de l’éditeur de sécurité Coalfire. « Au fil du temps, Citrix a amélioré sa pile technologique et Netscaler est certes un produit de défense, mais il se trouve toujours à la limite du périmètre, ce qui signifie que là où il est déployé, il est probablement directement exposé à Internet », a-t-il ajouté. « Cependant, contrairement aux anciens serveurs Metaframe, il est exactement là où il est censé se trouver, ce qui en fait une cible de choix pour les intrus ».

Protection contre Citrix Bleed

« Des vulnérabilités similaires à Citrix Bleed apparaissent régulièrement, mais le vrai problème survient quand les correctifs sont publiés et ne sont pas appliqués rapidement, laissant les systèmes vulnérables plus longtemps que nécessaire », a déclaré Josh Amishav, fondateur de Breachdefense. « Pour se prémunir contre de telles brèches, il est essentiel que les particuliers et les entreprises mettent régulièrement à jour et corrigent les logiciels et les systèmes », a-t-il ajouté. La surveillance des réseaux pour déceler toute activité inhabituelle peut aider à détecter rapidement les brèches. La mise en œuvre de méthodes d'authentification robustes et multifactorielles ajoute une couche supplémentaire de sécurité. « Il est également très important de former les employés aux meilleures pratiques en matière de cybersécurité », a encore déclaré le dirigeant. L'utilisation de mots de passe sécurisés, de préférence générés et stockés dans un coffre-fort à mots de passe, renforce la sécurité.

En outre, la recherche permanente sur le dark web de toute fuite de données ou d'informations d'identification de l'entreprise peut fournir des avertissements précoces sur des violations potentielles. « Les utilisateurs de Xfinity devraient continuer à surveiller la situation de près et envisager de changer leurs noms d'utilisateur et leurs mots de passe dès que possible », recommande Neil Jones. « La probabilité de cyberattaques étant plus élevée pendant les fêtes de fin d'année, il est aussi conseillé aux utilisateurs de modifier leurs mots de passe WiFi Xfinity, en particulier si ceux-là n'ont pas été changés récemment ».