Des pirates chinois auraient installé une porte dérobée dans les systèmes Citrix Netscaler depuis mai. Citrix est accusé d’avoir étouffé l’affaire.
Le fait que les systèmes Citrix soient activement attaqués par des pirates depuis plusieurs mois n’est pas une coïncidence selon Kevin Beaumont. Le spécialiste de la sécurité suit activement les vulnérabilités depuis plusieurs mois. Dans un nouveau rapport, il décrit que la porte dérobée de Citrix NetScaler a été ouverte dès mai par des pirates chinois.
La vulnérabilité en question se trouvait dans un composant d’authentification. Les attaquants ont profité de cette entrée pour installer des backdoors personnalisées. L’attaque présente des similitudes avec des campagnes précédemment attribuées à Volt Typhoon, un groupe lié à l’espionnage informatique. La chaîne d’attaque technique est complexe et vise un accès à long terme, sans signe de ransomware ou de motivations financières.
Avoir du beurre sur la tête
Beaumont reproche à Citrix d’avoir délibérément minimisé l’impact de la fuite. Par exemple, les scripts de détection n’ont été partagés avec les clients que sous accord de confidentialité. À ce jour, aucune autorité n’a publié de directives publiques à ce sujet. Citrix aurait également fourni des ressources trop limitées. La porte dérobée a été installée à un moment où aucun correctif n’était encore disponible.
Beaumont appelle à plus de transparence de la part de Citrix et souligne la nécessité d’une meilleure sécurité des équipements réseau à la périphérie des réseaux d’entreprise. Il plaide pour une meilleure investigation des systèmes Netscaler afin de détecter les traces de compromission.
Les organisations qui utilisent Citrix Netscaler ont tout intérêt à analyser proactivement leurs systèmes pour détecter ces indications et à contacter leur partenaire de sécurité. Les systèmes suspects doivent faire l’objet d’une enquête approfondie, même si un correctif a déjà été appliqué. L’attaque laisse en effet des traces qu’une simple mise à jour ne supprime pas.
Citrix Bleed 2
Entre-temps, plusieurs correctifs sont disponibles pour les produits Citrix Netscaler compromis, mais pour de nombreuses organisations, le mal est déjà fait. Les vulnérabilités sont activement exploitées et les experts parlent déjà de ‘Citrix Bleed 2’. En 2023, Citrix Netscaler a déjà été massivement attaqué par une faille zero-day.
En Europe, des milliers de systèmes sont encore vulnérables aujourd’hui. Les entreprises qui n’ont pas encore installé les correctifs disponibles ont intérêt à s’en occuper au plus vite, car la porte de votre serveur Citrix Netscaler est grande ouverte.