Cela fait désormais plus de six semaines que le fournisseur de solutions de virtualisation et de services cloud Citrix a signalé l’existence d’une vulnérabilité particulièrement critique sur deux de ses produits, NetScaler ADC et NetScaler Gateway. Mais, comme cela arrive régulièrement, les organisations équipées tardent à appliquer les patches. Ce qui fait le bonheur des cybercriminels de tout poil.
“Tout équipement qui n’aurait pas été mis à jour doit être considéré comme compromis”, vient ainsi d’avertir le CERT-FR dans une mise à jour de son bulletin d’alerte. “Il est impératif de réaliser des investigations sans délai en s’appuyant sur l’ensemble des recommandations fournies dans les différentes publications”, poursuit le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques rattaché à l’Anssi, le cyber-pompier de l’Etat.
Over a month after Citrix advisory publication NetScaler CVE-2023-4966 exploitation attempts continue to be one of the most common attacks seen by our honeypot sensor network.https://t.co/vydiau65BH
If you are running NetScaler & did not patch initially assume compromise. https://t.co/KLt4rpERX3 pic.twitter.com/xDJLJeMZoh
— Shadowserver (@Shadowserver) November 20, 2023
Trop d’instances encore vulnérables
Selon les données de Shadowserver, une fondation dédiée à la recherche sur les activités malveillantes, il y aurait encore environ 91 instances vulnérables en France. C’est beaucoup moins qu’à l’annonce de la faille, le 10 octobre, où 813 instances avaient été repérées, mais c’est encore beaucoup trop. “Ce sont les attaques les plus courantes observées sur nos pots de miel”, avertit la fondation.
D’autant plus qu’on ne manque pas de preuves de l’exploitation active de la faille, qui permet à des attaquants de contourner les mécanismes d’authentification à facteurs multiples. Le spécialiste de la cybersécurité Mandiant avait très vite signalé avoir identifié une exploitation de la vulnérabilité dès la fin du mois d’août 2023.
Boeing visé
Mais on sait désormais que cette faille a été également utilisée pour pirater l’informatique d’un service du constructeur aéronautique Boeing, dédié aux pièces détachées et à la distribution. Une action revendiquée ensuite par le gang de rançongiciel LockBit, qui a commencé à publier des données volées.
D’autres tentatives d’exploitation ont également été observées chez d’autres victimes, à l’identité non précisée, signale une note conjointe signée notamment par le FBI et la Cisa. Cet équivalent américain de l’Anssi a prévenu 300 organisations susceptibles d’être visées.
Mais comme le remarque Le Mag IT, d’autres victimes récentes de cyberattaques utilisaient visiblement des systèmes vulnérables à cette faille, comme par exemple le service public de l’assainissement francilien. Certes, on ne sait pas si les attaquants sont bien passés par là, mais c’est désormais une hypothèse sérieuse. Dans le doute, mieux vaut donc patcher ses systèmes au plus vite.