Les pirates font la course pour exploiter un bogue Citrix que la société n'a pas encore corrigé – Serveur d’impression
Écrit par Sean Lyngaas
Au cours d'une semaine, les implications en matière de sécurité sont devenues plus graves pour une vulnérabilité critique de deux produits populaires fabriqués par Citrix, un fournisseur de services de réseau privé virtuel d'entreprise utilisé dans de nombreuses sociétés Fortune 500.
La faille existe dans un outil de distribution d'applications basé sur le cloud Citrix, ainsi que dans un produit qui permet un accès à distance aux applications de l'entreprise. Les experts disent qu'une exploitation réussie du bogue pourrait permettre à un pirate de creuser dans les nombreux réseaux d'entreprise qui utilisent le logiciel. Le résultat pourrait être l'exposition ou le vol d'informations d'entreprise de clients Citrix qui, autrement, font confiance à la technologie fournie par l'entreprise de 2,5 milliards de dollars.
Premièrement, les experts ont déclaré que les attaquants commenceraient bientôt à exploiter la faille. Citrix a ensuite émis un avis garantissant que ses mesures de sécurité provisoires recommandées aideraient à résoudre le problème. Mais alors que les chercheurs avertissaient que les pirates avaient commencé à exploiter la vulnérabilité, Citrix a mis à jour son avis pour dire que, dans certains scénarios, les techniques d'atténuation de l'entreprise ne fonctionneraient pas. La société a ensuite demandé aux clients de passer à une autre compilation de logiciels pour éviter le problème.
Tard jeudi soir, la société de cybersécurité FireEye a révélé une autre tournure de l'intrigue: un pirate inconnu, ou un ensemble de pirates, exploitait la vulnérabilité d'un produit Citrix, nettoyait d'autres logiciels malveillants sur ce réseau et plantait leur propre code, probablement comme une porte dérobée pour accès futur.
Huit fois par seconde, le code de l'attaquant recherche les fichiers correspondant à d'autres tentatives d'exploitation de la vulnérabilité Citrix, puis les bloque, selon FireEye.
"FireEye pense que cet acteur peut tranquillement collecter l'accès à [these Citrix] appareils pour une campagne ultérieure », a déclaré la société dans un article de blog.
Citrix, quant à lui, prépare des correctifs de sécurité complets pour que le bogue soit publié plus tard ce mois-ci, a déclaré la société.
C’est le genre de slugfest attaquant contre attaquant qui fascine les analystes de la sécurité.
Pouvez-vous imaginer les champs de bataille du serveur Citrix alors que des gangs de hackers s'affrontent pour voir qui peut sécuriser la boîte contre de nouvelles attaques, démarrer leurs rivaux et exploiter leur accès pour * quelque chose * avant que le château de cartes ne s'écroule?# thebattleof0daysand0nights
– thaddeus e. grugq (@thegrugq) 16 janvier 2020
Dans un cas, les analystes de FireEye ont déclaré avoir vu un seul appareil avec la vulnérabilité piratée par plusieurs acteurs. Mais après que l'attaquant de plantation de portes dérobées soit entré dans la mêlée le 12 janvier, cette entité a bloqué plus d'une douzaine d'autres tentatives d'exploitation de la vulnérabilité.
On ne sait pas ce qu'est le jeu de fin de l'attaquant justicier, mais les analystes de FireEye ne croient pas que ce soit bienveillant.
"Bien que nous n'ayons pas vu l'acteur revenir, nous sommes sceptiques quant au fait qu'ils resteront un personnage de Robin Hood protégeant Internet des ombres", ont déclaré William Ballenthin et Josh Madeley de FireEye.
Dans un communiqué envoyé par courrier électronique, Citrix CISO Fermin J. Serna a déclaré que «malgré quelques rapports contraires, ces atténuations fonctionnent et sont efficaces pour contrecarrer les attaques si toutes les étapes sont suivies.»
«Nous encourageons nos clients à appliquer immédiatement les atténuations et les correctifs dès qu'ils sont disponibles et apprécions le soutien de FireEye pour souligner l'importance de le faire», a déclaré Serna, ajoutant que la société a coordonné étroitement ses clients sur la question.
Alors que Citrix mettait à jour son avis de sécurité, le Centre national de cybersécurité des Pays-Bas expliquait clairement les lacunes des mesures d'atténuation de la sécurité.
«Le NCSC souligne qu'il n'existe actuellement aucune bonne solution fiable garantie pour toutes les versions des serveurs Citrix ADC et Citrix Gateway», a déclaré jeudi l'agence néerlandaise.
"En fonction de l'impact, le NCSC recommande d'envisager de désactiver Citrix ADC et les serveurs de passerelle", a déclaré l'agence.
Dave Kennedy, fondateur de la société de cybersécurité TrustedSec, a déclaré qu'il connaissait les clients Citrix qui font exactement cela.
«Je suis en contact avec de nombreux clients Citrix et beaucoup les ont complètement fermés parce qu'ils manquent de confiance dans les contrôles d'atténuation», a déclaré Kennedy à CyberScoop.
<! –
->
Commentaires
Laisser un commentaire