Citrix reconnaît un accès non autorisé à un système de gestion de contenus

C’est dans un billet de blog que Stan Black, RSSI de Citrix, reconnaît avoir été victime d’une intrusion informatique mineure. Il explique ainsi qu’un tiers a réussi à accéder à un serveur de gestion de contenus en profitant de sa configuration permettant les accès anonymes, sans authentification donc.

A l’automne, un pirate russe répondant au pseudonyme de W0rm avait revendiqué l’intrusion dans un serveur de gestion de contenus de Citrix. Mais Stan Black assure que ce serveur de pré-production ne permet pas, via l’accès anonyme, de modifier les contenus transmis aux serveurs de production des sites Web de la famille de produits GoTo.

Selon le RSSI, « les affirmations selon lesquelles un acteur malveillant pouvait modifier le contenu des sites de production, les configurations des serveurs Web, ou accéder à des systèmes internes à Citrix ne sont pas factuelles ». Toutefois, l’éditeur n’a pas manqué de durcir la configuration de son serveur et d’en modifier les mots de passe d’administration.

Surtout, Stan Black assure que le serveur affecté « ne contenait pas d’informations de clients, d’employés, ni de données sensibles ou confidentielles ».

Il précise enfin que, si le pirate a réussi à récupérer au passage un identifiant de compte ShareFile, ce dernier ne contenait pas de données sensibles non plus. Et s’il a réussi à identifier un jeton d’API pour se connecter à ce compte, celui-ci ne permettait qu’un accès en lecture : « cet ancien compte ShareFile inutilisé a été désactivé et la clé d’API en lecture seule pour ce compte a été révoquée ».

Si Citrix s’en sort là à bon compte, on imagine que l’incident a dû donner lieu à des discussions tendues en interne, notamment sur des sujets tels que la gestion du cycle de vie de certains comptes utilisateurs, ou encore de la configuration de systèmes.