beeboys - stock.adobe.com

Citrix Bleed : la liste des victimes de l’exploitation de la vulnérabilité s’allonge

La vulnérabilité CVE-2023-4966 n’est plus une 0day depuis début octobre. Un nombre croissant d’acteurs malveillants a saisi l’opportunité pour conduire des cyberattaques, au premier rang desquels un affidé LockBit.

Quel est le point commun entre Allen & Overy, BoeingDP World Australia, et ICBC ? Tous les quatre ont exploité un système Citrix NetScaler affecté par la vulnérabilité CVE-2023-4966 dite Citrix Bleed. Tous les quatre ont été victimes de cyberattaque. Pour trois d’entre eux, à l’heure où sont écrites ces lignes, la cyberattaque a impliqué la franchise mafieuse LockBit 3.0. 

Début octobre, Citrix a corrigé deux vulnérabilités, identifiées CVE-2023-4966 et CVE-2023-4967, qui affectaient plusieurs versions de NetScaler ADC (anciennement Citrix ADC) et NetScaler Gateway (anciennement Citrix Gateway). 

L’exploitation réussie de la CVE-2023-4966, qui a reçu un score CVSS de 9,4, pourrait permettre aux attaquants de détourner des sessions authentifiées existantes, contournant ainsi l’authentification à facteurs multiples (MFA) ou d’autres mécanismes d’authentification forte. 

Mandiant a révélé avoir constaté une exploitation de la vulnérabilité CVE-2023-4966 de manière inédite, ou 0day, à partir de la fin du mois d’août contre des organisations technologiques et gouvernementales. La piste du cyberespionnage était considérée et LeMagIT a demandé à la Cour pénale internationale si elle avait été concernée, mais sans obtenir de réponse.

Reste que beaucoup d’observateurs anticipaient déjà que la vulnérabilité attire l’intérêt de groupes à la motivation purement crapuleuse.

Le 8 novembre, le chercheur indépendant Dominic Alvieri suggérait déjà que l’exploitation de la vulnérabilité Citrix Bleed ait été impliquée dans la cyberattaque conduite contre Boeing. Le 14 novembre, le chercheur Kevin Beaumont a affirmé que cela valait aussi pour Allen & Overy, DP World Australia et ICBC. Selon lui, « plus de 10 victimes » serait actuellement victimes d’un affidé de la franchise LockBit 3.0 se concentrant sur l’exploitation de la CVE-2023-4966.

Le Wall Street Journal, s’appuyant sur un courriel adressé par le Trésor américain à quelques fournisseurs de services financiers outre-Atlantique, a confirmé l’exploitation de la vulnérabilité Citrix Bleed contre ICBC. 

Mais selon ReliaQuest, au moins quatre groupes misent actuellement sur l’exploitation de cette vulnérabilité pour conduire leurs cyberattaques. Kevin Beaumont mentionne Medusa. 

Les données d’Onyphe font ressortir un nombre encore conséquent de systèmes Citrix Netscaler vraisemblablement affectés par la vulnérabilité CVE-2023-4966, y compris en France et dans des grands groupes.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)