« Si atterrir sur la Lune était facile, tout le monde garerait sa voiture là-bas! » – Et si j’étais un pirate informatique, je dirais que s’infiltrer dans les systèmes Citrix NetScaler était un jeu d’enfant. Alors que vous échafaudez des plans pour conquérir le cosmos, les cybercriminels, eux, se concentrent sur des cibles bien plus terrestres. Et devinez quoi ? Ils ont trouvé leur propre fusée lunaire dans la faille de sécurité CVE-2023-4966, affectueusement surnommée « CitrixBleed ».
C’est pire qu’une coupure de papier au bureau, les amis. Les récentes attaques cybernétiques visent des entités plus imposantes que mon ego de journaliste – on parle de Boeing, de la banque ICBC, de l’opérateur portuaire DP World et du cabinet d’avocats Allen & Overy. Et tandis que j’écris ces lignes, la lampe rouge est allumée chez des milliers d’autres organisations qui ne sont pas encore protégées contre ce vulnérabilité jugée critique. On dirait que la sécurité informatique joue une partie de cache-cache et pour l’instant, c’est elle qui perd.
On peut entendre les sirènes depuis l’espace. La Shadowserver Foundation, avec son flair de chien de chasse pour les vulnérabilités, et l’agence américaine de cybersécurité CISA poussent des hurlements dignes d’un concert de rock pour que les systèmes fédéraux soient patchés. Malheureusement, s’ils croyaient que cette vulnérabilité allait juste s’éclipser comme une série Netflix sans succès, ils avaient tout faux.
Cette vulnérabilité baptisée « CitrixBleed » est le cauchemar des systèmes non protégés, et les cybercriminels ne manquent pas de l’exploiter.
Mais concrètement, c’est quoi ce CitrixBleed ? Imaginez un magicien qui réussit à faire disparaître le lapin du chapeau, mais au lieu de ça, les pirates disparaissent avec des tonnes de données sensibles. Le 10 octobre, Citrix a révélé que ses plates-formes NetScaler ADC et NetScaler Gateway étaient comme des portes ouvertes à tous les vents.
La faille permet aux méchants bonnets noirs de s’emparer des jetons de session précieux – d’où le joli surnom de « CitrixBleed ». Apparemment, c’est aussi facile à exploiter qu’à dire « cheese » devant un appareil photo. Citrix a bien essayé de colmater le bateau avec des rustines, mais même le Titanic avec son orchestre n’a pas su tenir le coup face à un simple iceberg.
Les premières victimes ont été des organisations dans les domaines des services professionnels, de la technologie et du gouvernement, et les experts comme Mandiant ont commencé à remarquer de curieux mouvements – peu après l’heure du thé – dès la fin du mois d’août. Du côté de Rapid7, ils ont même observé que ces attaques ne se contentaient pas de petits larcins, mais visaient carrément l’accès aux réseaux et aux données.
Gardez vos amis près de vous, et vos Citrix plus près encore. Last but not least, on a les gros poissons, comme les groupes de pirates qui régissent le cyber monde sombre comme des parrains de la Mafia. L’un d’eux pourrait être le gang russe de ransomware LockBit, qui a déjà revendiqué collecter des rançons plus vite que le compteur de vues d’une vidéo virale de chatons.
Après avoir réveillé le tandem infernal Boeing et Allen & Overy avec son cyber café croissant, LockBit ne s’est pas privé de rajouter un peu de pression à la marmite du net. Avec la prise en otage du réseau de ICBC par la manipulation d’une boîte Citrix Netscaler non patchée, la banque se retrouva dans la soupe jusqu’aux genoux, incapable de remettre les pieds par terre. Pendant ce temps-là, Allen & Overy évaluait les dégâts, comptant les dossiers impactés comme on compte les moutons pour s’endormir.
Et si vous pensiez avoir fait le tour des ravageurs, laissez-moi vous présenter le gang Medusa ransomware qui fait aussi ses emplettes grâce à CitrixBleed. Pour paraphraser Rapid7 : CVE-2023-4966 risque de devenir la star des vulnérabilités de 2023. Ça promet des nuits blanches à tous les pros de la sécurité.
Source : Techcrunch
