16/12/2024

Actu Cybersécurité

Le ransomware LockBit exploite la faille de sécurité Citrix Bleed ! Plus de 10 000 serveurs sont exposés !

Le gang de ransomware LockBit mène actuellement une campagne de cyberattaques visant à exploiter la faille de sécurité Citrix Bleed (CVE-2023-4966) ! Faisons le point sur cette menace !

La faille de sécurité Citrix Bleed

La vulnérabilité CVE-2023-4966, surnommée Citrix Bleed, affecte les produits Citrix NetScaler ADC (Citrix ADC) et Citrix NetScaler Gateway (Citrix Gateway). Comme le montre le bulletin de sécurité de Citrix, elle a été divulguée le 10 octobre 2023 et il y a plusieurs versions affectées par cette vilaine faille de sécurité associée à un score CVSS de 9.4 sur 10.

Il n'existe aucune mesure d'atténuation pour vous protéger (mise à part isoler votre serveur d'Internet). La solution préconisée par Citrix, c'est d'installer le correctif de sécurité. L'éditeur a mis en ligne plusieurs versions pour NetScaler ADC et NetScaler Gateway. Un attaquant peut l'exploiter à distance à l'aide d'une requête HTTP "GET" dans le but de voler des cookies de session.

A ce sujet, l'agence américaine CISA précise : "L'exploitation de cette vulnérabilité pourrait permettre la divulgation d'informations sensibles, y compris des informations sur les jetons d'authentification de session qui pourraient permettre à un acteur de la menace de "détourner" la session d'un utilisateur."

LockBit l'exploite au sein d'attaques majeures

Les cybercriminels de LockBit (ou l'un de leurs nombreux affiliés) auraient utilisé cette vulnérabilité pour compromettre l'infrastructure de plusieurs entreprises, dont Boeing, DP World en Australie, Allen & Overy ainsi que la Banque industrielle et commerciale de Chine (ICBC). D'après le chercheur Kevin Beaumont, qui a effectué des analyses sur ces cyberattaques, la faille de sécurité Citrix Bleed aurait été exploitée !

Ceci ne pourrait être qu'un début : il y aurait plus de 10 400 serveurs Citrix vulnérables et accessibles sur Internet, si l'on se réfère aux chiffres relayés par le site BleepingComputer.

En France, il y aurait tout de même 301 serveurs Citrix vulnérables, ainsi que 252 serveurs chez nos voisins espagnols, ou encore 277 serveurs en Italie. Par ailleurs, on compte 3 133 serveurs vulnérables aux États-Unis. Dans certains cas, il s'agirait de serveurs appartenant à des organisations importantes !

Il devient urgent de patcher les serveurs Citrix !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.