Des pirates ont été observés en train d’exploiter une vulnérabilité zero-day dans un produit Citrix pour cibler au moins une organisation d’infrastructure critique aux États-Unis.
La nouvelle, rapportée par TechnologieCcourira depuis été confirmé par la US Cybersecurity and Infrastructure Security Agency (CISA), ainsi que par plusieurs sociétés de cybersécurité.
Selon le rapport, des pirates anonymes ont utilisé une faille dans NetScaler ADC et NetScaler Gateway suivie comme CVE-2023-3519. Il a un indice de gravité de 9,8, ce qui en fait un défaut critique. Ils l’ont utilisé pour exécuter du code arbitraire sur les appareils en tant qu’utilisateurs non authentifiés. NetScaler ADC et NetScaler Gateway sont des produits d’entreprise conçus pour la livraison sécurisée d’applications et VPN prestations de service.
Menace zero-day Citrix
Quelques jours après que Citrix a publié un correctif et a exhorté les utilisateurs à l’appliquer immédiatement car la faille était utilisée dans la nature, la CISA s’est manifestée en disant qu’elle avait observé la faille abusée en juin, contre une organisation d’infrastructure critique américaine anonyme.
Selon CISA, les attaquants ont utilisé la faille pour fournir un webshell sur NetScaler ADC, ce qui leur a permis de voler des données sensibles de l’Active Directory de l’entreprise. La bonne nouvelle est que l’appliance était isolée à l’intérieur du réseau, empêchant les attaquants de se déplacer latéralement et de causer encore plus de dégâts.
Cette entreprise est peut-être repartie avec une égratignure, mais d’autres pourraient être gravement blessées, indique la publication, il y a encore plus de 15 000 serveurs Citrix dans le monde qui n’ont pas encore été corrigés, et en tant que tels sont vulnérables à cette faille. La plupart d’entre eux se trouvent aux États-Unis (5 700), avec un nombre important également en Allemagne (1 500) et au Royaume-Uni (1 000).
Citrix dit qu’il ne sait pas qui a exploité la faille jusqu’à présent, mais soupçonne à la fois des acteurs motivés financièrement et ceux parrainés par l’État. La Chine est à nouveau mentionnée. Les chercheurs de Mandiant étaient sur la même veine, affirmant que l’activité était “cohérente avec les opérations précédentes des acteurs du lien avec la Chine basées sur des capacités et des actions connues contre Citrix ADC en 2022”.