LockBit 3.0 faille Citrix Bleed : l’année 2024 se profile comme une période cruciale dans le domaine de la cybersécurité, particulièrement en ce qui concerne les fraudes hybrides en ligne. Ces fraudes, caractérisées par l’utilisation combinée d’outils de cybersécurité et de tactiques d’ingénierie sociale, posent de nouveaux défis pour les entreprises et les institutions financières.

L’Émergence des Workflows d’IA dans la Fraude en Ligne

D’après les dernières observations, les cybercriminels ont intégré de manière significative l’intelligence artificielle (IA) dans leurs stratégies de fraude. Cette évolution marque un tournant dans la manière dont les fraudes sont orchestrées et exécutées. Le rapport d’Insikt Group, la division de recherche sur les menaces de Recorded Future, souligne cette tendance inquiétante et ses conséquences potentiellement dévastatrices. En 2023, les fraudes liées aux cartes volées ont déjà causé des pertes colossales, chiffrées en milliards de dollars, aussi bien pour les émetteurs de cartes que pour les commerçants.

L’Innovation Malveillante des Fraudeurs

Ce qui rend la situation particulièrement alarmante, c’est la sophistication croissante des tactiques employées par les fraudeurs. Ils ont recours à des méthodes d’ingénierie sociale avancées, comme le phishing, et à des logiciels sophistiqués, tels que les outils de contournement 3D Secure (3DS). Les workflows NAF frauduleux sont également utilisés pour esquiver les systèmes de détection de fraude basés sur des règles. Ces tactiques sont mises en lumière par une analyse approfondie de données provenant de sources diverses, y compris le dark web.

Vers une Lutte Renforcée contre la Fraude en Ligne

Face à cette montée en puissance de la cybercriminalité, les institutions financières et les entreprises doivent redoubler d’efforts pour protéger leurs systèmes. Bien que l’année 2022 ait vu une baisse des activités de carding sur le dark web, grâce aux mesures répressives des autorités, les cybercriminels semblent s’être adaptés et ont développé de nouvelles techniques encore plus redoutables. L’utilisation de l’IA par ces acteurs malveillants représente un défi majeur pour 2024, les poussant à innover constamment pour contrer ces menaces.

L’Importance de l’Innovation et de la Coordination

Pour faire face à cette menace grandissante, les entreprises doivent envisager des solutions innovantes. Une meilleure coordination entre les équipes chargées de la lutte contre la fraude et celles en charge du renseignement sur les menaces de cybersécurité est cruciale. L’exploitation des renseignements provenant du dark web peut s’avérer particulièrement utile pour anticiper et contrer les attaques. En conclusion, la sophistication croissante de la fraude en ligne exige une vigilance accrue et un investissement constant dans les méthodes de lutte et de protection les plus avancées pour garder une longueur d’avance sur les fraudeurs.

LockBit 3.0, la faille Citrix Bleed

La faille Citrix Bleed, exploitée par le ransomware LockBit 3.0, semble être un sujet de préoccupation croissante dans le domaine de la cybersécurité. Cependant, les détails spécifiques de cette faille ne sont pas fournis dans les informations que vous avez partagées. Néanmoins, je peux vous fournir une explication générale sur ce que pourrait impliquer une telle faille, en me basant sur des principes courants de sécurité informatique et sur ce que l’on sait des failles et ransomwares similaires.

Compréhension Générale d’une Faille de Sécurité comme Citrix Bleed

Nature de la Faille

• Type de Vulnérabilité : Les failles dans les logiciels comme celles trouvées dans les produits Citrix sont souvent liées à des défauts dans la conception ou l’implémentation du logiciel qui permettent aux attaquants de contourner les mesures de sécurité normales.
• Point d’Entrée pour les Attaquants : Ces vulnérabilités peuvent offrir un point d’entrée aux attaquants pour exécuter du code malveillant, accéder à des données sensibles, ou prendre le contrôle de systèmes compromis.

Exploitation par LockBit 3.0

• Ransomware : LockBit 3.0 est un type de ransomware, un logiciel malveaillant qui chiffre les fichiers de l’utilisateur ou du système et exige une rançon pour le déchiffrement.
• Exploitation de la Faille : En exploitant la faille Citrix Bleed, les attaquants de LockBit 3.0 peuvent infiltrer des réseaux d’entreprise, se propager à travers les systèmes, et ultimement verrouiller les données ou les systèmes en exigeant une rançon.

Risques et Conséquences

• Propagation et Impact : La capacité de se propager dans un réseau rend ce type de faille particulièrement dangereux, car elle peut affecter non seulement un seul point d’entrée mais potentiellement l’ensemble du réseau d’une organisation.
• Données Sensibles : La compromission des systèmes Citrix peut entraîner l’exposition de données sensibles, notamment des informations personnelles, des secrets commerciaux ou d’autres données critiques.

Mesures de Mitigation et Prévention

• Mises à Jour de Sécurité : Il est crucial pour les organisations utilisant des produits Citrix de veiller à appliquer rapidement toutes les mises à jour de sécurité et les correctifs fournis par le fabricant.
• Surveillance et Détection : La mise en place d’outils de détection des intrusions et de surveillance du réseau peut aider à identifier et à contenir rapidement une exploitation de la faille.

Objet: [MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway

GESTION DU DOCUMENT

RISQUE(S)

• Exécution de code arbitraire à distance
• Atteinte à la confidentialité des données

SYSTÈMES AFFECTÉS

• NetScaler ADC et NetScaler Gateway versions 14.1.x antérieures à 14.1-8.50
• NetScaler ADC et NetScaler Gateway versions 13.1.x antérieures à  13.1-49.15
• NetScaler ADC et NetScaler Gateway versions 13.0.x antérieures à 13.0-92.19
• NetScaler ADC 13.1-FIPS versions antérieures à 13.1-37.164
• NetScaler ADC 12.1-FIPS versions antérieures à 12.1-55.300
• NetScaler ADC 12.1-NDcPP versions antérieures à 12.1-55.300

Citrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsolètes.

RÉSUMÉ

[Mise à jour du 22 novembre 2023]

L’éditeur a publié un document [3] le 20 novembre 2023 listant les différents journaux à analyser ainsi que les éléments à rechercher pour identifier une activité pouvant être liée à une compromission.

Par ailleurs, la CISA a publié un avis de sécurité le 21 novembre 2023 [4] indiquant que, comme anticipé le 24 octobre, des campagnes d’exploitation massives sont en cours notamment pour le déploiement de rançongiciels.

Le CERT-FR rappelle que tout équipement qui n’aurait pas été mis à jour doit être considéré comme compromis. Il est impératif de réaliser des investigations sans délai [5] en s’appuyant sur l’ensemble des recommandations fournies dans les différentes publications [2][3][4].

[Mise à jour du 24 octobre 2023] Des chercheurs ont publiés des détails techniques sur la vulnérabilité ce jour. Le CERT-FR anticipe l’apparition de codes d’exploitation publics suivie d’une augmentation des tentatives d’exploitation de cette vulnérabilité.

[Publication initiale]

Le 10 octobre 2023, Citrix a publié un avis de sécurité [1] concernant la vulnérabilité CVE-2023-4966 affectant NetScaler ADC et NetScaler Gateway. L’éditeur lui a donné un score de 9,4 et indiqué qu’elle permet une atteinte à la confidentialité des données.

Le 17 octobre 2023, Citrix a mis son avis à jour pour déclarer avoir connaissance d’exploitations actives de la vulnérabilité CVE-2023-4966.

Le même jour, Mandiant a publié un billet de blogue [2] dans lequel l’entreprise déclare avoir connaissance d’exploitations actives de cette vulnérabilité depuis fin août 2023.  Mandiant précise que l’exploitation de cette vulnérabilité permet à l’attaquant de prendre le contrôle de sessions actives avec le niveau de privilèges des utilisateurs concernés. Cela permet de contourner l’authentification à multiples facteurs et le seul fait d’appliquer la mise à jour ne bloque pas l’accès à l’attaquant.

Sur la base des informations fournies par Mandiant dans son rapport (cf. le rapport détaillé référencé dans son billet [2]), le CERT-FR recommande de réaliser les actions suivantes :

• appliquer la mise à jour sans délai ;
• couper toutes les sessions existantes sans délai ;
• renouveler les mots de passe des comptes déclarés sur les passerelles vulnérables ;
• mener des investigations pour identifier les actions prises par un potentiel attaquant.

SOLUTION

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

DOCUMENTATION

• [1] Bulletin de sécurité Citrix CTX579459 du 10 octobre 2023
  https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
• Avis CERT-FR CERTFR-2023-AVI-0823 du 11 octobre 2023
  https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0823/
• [2] Billet de blogue Mandiant du 17 octobre 2023
  https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
• [3] Billet de blogue NetScaler du 20 novembre 2023
  https://www.netscaler.com/blog/news/netscaler-investigation-recommendations-for-cve-2023-4966/
• [4] Avis de sécurité de la CISA du 21 novembre 2023
  https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a
• [5] Les bons réflexes en cas d’intrusion sur un système d’information
  https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
• Référence CVE CVE-2023-4966
  https://www.cve.org/CVERecord?id=CVE-2023-4966