Les entreprises n'ayant pas appliqué les correctifs de Citrix pour leurs systèmes NetScaler ADC et Gateway corrigeant en particulier la faille CVE-2023-4966 aka Citrix Bleed ont du souci à se faire. Profitant de leur manque de réactivité dans leur processus de mise à jour, le cybergang Lockbit 3.0 multiplie les attaques par ransomware, avec, à la clé, de nombreuses victimes. La dernière en date n'est autre que Boeing qui en a fait les frais il y a une dizaine de jours avec la publication d'un échantillon de ses données. La situation est malheureusement loin de s'améliorer et alarme de nombreux chercheurs, fournisseurs et agences de sécurité au niveau mondial. La faille Citrix Bleed ne date pas d'hier et les cyberattaquants ont certainement eu tout le temps nécessaire pour peaufiner leurs opérations malveillantes. Un rapport des chercheurs en sécurité de Mandiant (Google Cloud) indiquait en octobre dernier que la CVE-2023-4966 est activement exploitée depuis le mois d'août dernier. 

Dans un bulletin conjoint détaillé, le CISA (l'équivalent de l'Anssi aux Etats-Unis), le FBI ainsi que le centre d'analyse et de partage d'informations multi-Etats (MS-ISAC) et le centre australien en détection des menaces en cybersécurité (ASD ACSC) ont publié les techniques, tactiques et procédures ainsi que les indicateurs de compromission concernant cette CVE-2023-4966 exploitée par LockBit 3.0. Avec, à la clé, de sérieux risques pour les victimes : « Citrix Bleed, connu pour être exploité par les affiliés de LockBit 3.0, permet aux acteurs de la menace de contourner les exigences en matière de mot de passe et d'authentification multifacteurs (MFA) pour détourner avec succès des sessions d'utilisateurs légitimes sur les passerelles Citrix NetScaler Web Application Delivery Control (ADC) et Gateway », peut-on lire dans l'avis. « En prenant le contrôle de sessions d'utilisateurs légitimes, les acteurs malveillants acquièrent des autorisations élevées leur permettant de collecter des informations d'identification et d'accéder à des données et à des ressources ».

Supprimer les sessions actives ou persistantes après mise à jour

Les entreprises qui ne procèdent pas à l'application dès que possible des correctifs poussés par Citrix - qui a regroupé dans un billet de blog synthétique les principales mesures correctives et de contournement à prendre - s'exposent à de gros risques. « Cette vulnérabilité critique a été découverte par notre équipe interne. Au moment de la publication du bulletin de sécurité, nous ne savions pas que cette vulnérabilité avait été exploitée dans la nature, et nous avons recommandé à nos clients de passer dès que possible à une version mise à jour publiée en même temps que le bulletin de sécurité afin de résoudre ce problème critique », a alerté Citrix. « Après la mise à jour, nous vous recommandons de supprimer toutes les sessions actives ou persistantes ». Pour ce faire, le fournisseur enjoint les entreprises à utiliser les commandes suivantes : kill aaa session -all ; kill icaconnection -all ; kill rdp connection -all ; kill pcoipConnection -all et clear lb persistentSessions.

Aux Etats-Unis, le CISA a informé environ 300 entreprises afin qu'elles puissent corriger la faille pour protéger leurs systèmes. En France, le CERT-FR a, de son côté, confirmé ce 22 novembre que des campagnes d'exploitation massives sont en cours notamment pour le déploiement de logiciels. « Le CERT-FR rappelle que tout équipement qui n'aurait pas été mis à jour doit être considéré comme compromis. Il est impératif de réaliser des investigations sans délai en s'appuyant sur l'ensemble des recommandations fournies dans les différentes publications », prévient le centre d'alerte et de réaction aux incidents.