Plusieurs acteurs de la menace, y compris les affiliés du ransomware LockBit, sont exploiter activement une faille de sécurité critique récemment révélée dans les appliances Citrix NetScaler Application Delivery Control (ADC) et Gateway pour obtenir un accès initial aux environnements cibles.
L’avis conjoint émane de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), du Federal Bureau of Investigation (FBI), du Centre de partage et d’analyse d’informations multi-États (MS-ISAC) et de l’Australian Cyber Security Center de l’Australian Signals Steering (ASD’s ACSC). .
« Citrix Bleed, connu pour être exploité par les filiales de LockBit 3.0, permet aux acteurs malveillants de contourner les exigences en matière de mot de passe et d’authentification multifacteur (MFA), ce qui conduit à un détournement réussi des sessions utilisateur légitimes sur le contrôle de livraison des applications Web (ADC) et les appliances Gateway de Citrix NetScaler. » les agences dit.
« Grâce à la prise de contrôle de sessions d’utilisateurs légitimes, les acteurs malveillants acquièrent des autorisations élevées pour récolter des informations d’identification, se déplacer latéralement et accéder aux données et aux ressources. »
Suivie comme CVE-2023-4966 (score CVSS : 9,4), la vulnérabilité a été corrigée par Citrix le mois dernier, mais pas avant d’être transformée en Zero Day, au moins depuis août 2023. Elle porte le nom de code Citrix Bleed.
Peu de temps après la divulgation publique, Mandiant, propriété de Google, a révélé qu’il suivait quatre groupes différents non classés (UNC) impliqués dans l’exploitation de CVE-2023-4966 pour cibler plusieurs secteurs industriels dans les Amériques, la région EMEA et l’APJ.
Le dernier acteur menaçant à rejoindre le mouvement de l’exploitation est LockBit, qui a été observé en train de profiter de la faille pour exécuter des scripts PowerShell et abandonner les outils de gestion et de surveillance à distance (RMM) comme AnyDesk et Splashtop pour les activités de suivi.
Cette évolution souligne une fois de plus le fait que les vulnérabilités des services exposés restent le principal vecteur d’entrée pour les attaques de ransomwares.
Cette divulgation intervient alors que Check Point a publié une étude comparative des attaques de ransomware ciblant Windows et Linux, notant que la majorité des familles qui s’introduisent sous Linux utilisent fortement la bibliothèque OpenSSL ainsi que les algorithmes ChaCha20/RSA et AES/RSA.
« Les ransomwares Linux sont clairement destinés aux moyennes et grandes organisations, contrairement aux menaces Windows, qui sont de nature beaucoup plus générale », a déclaré le chercheur en sécurité Marc Salinas Fernandez. dit.
L’examen de diverses familles de ransomwares ciblant Linux « révèle une tendance intéressante vers la simplification, où leurs fonctionnalités de base sont souvent réduites à de simples processus de cryptage de base, laissant ainsi le reste du travail aux scripts et aux outils système légitimes ».
Check Point a déclaré que l’approche minimaliste rend non seulement ces familles de ransomwares fortement dépendantes de configurations et de scripts externes, mais les rend également plus faciles à passer inaperçues.