Des pirates ciblent des serveurs Citrix non corrigés pour déployer des ransomwares

Le gang de rançongiciels REvil a été repéré abusant de bugs Citrix pour infecter les victimes.

Les entreprises qui exploitent toujours des serveurs Citrix non corrigés risquent de voir leurs réseaux infectés par des ransomwares.

Plusieurs sources dans la communauté infosec signalent que des groupes de pirates informatiques utilisent la vulnérabilité CVE-2019-19781 dans les appliances Citrix pour violer les réseaux d’entreprise, puis installer un rançongiciel.

LE GROUPE REVIL PASSE A L’ATTAQUE

Les infections de ransomwares remontant aux serveurs Citrix piratés ont été confirmées par les chercheurs en sécurité de FireEye et Under the Breach .

Le gang de rançongiciels REvil (Sodinokibi) a été identifié comme l’un des groupes attaquant les serveurs Citrix pour prendre pied sur les réseaux d’entreprise et installer plus tard leur souche de rançongiciels personnalisés.

« J’ai examiné les fichiers que le gang REvil a mis en ligne sur Gedia.com après que la société ait refusé de payer la demande de rançon », ont déclaré aujourd’hui des chercheurs en sécurité de Under the Breach.

« La chose intéressante est qu’ils ont évidemment piraté Gedia via l’exploit Citrix. »

Des rumeurs non confirmées affirment également que le gang de rançongiciels Maze cible également les serveurs Citrix.

Cependant, attaquer les serveurs d’entreprise correspond parfaitement au mode de fonctionnement du gang REvil. Auparavant, ce même gang exploitait des vulnérabilités dans les VPN Pulse Secure pour violer les réseaux d’entreprise et installer leur ransomware.

Mise à jour: après la publication de cet article, FireEye a également publié un article de blog détaillant un troisième groupe utilisant le bogue Citrix pour infecter les victimes, mais avec le rançongiciel Ragnarok.

LES CORRECTIFS CITRIX SONT DÉSORMAIS DISPONIBLES

Toutes ces attaques ont eu lieu après que des pirates aient scanné Internet pour détecter les appliances Citrix non sécurisées contre la vulnérabilité CVE-2019-19781.

Les périphériques vulnérables incluent le Citrix Application Delivery Controller (ADC), Citrix Gateway et deux anciennes versions de Citrix SD-WAN WANOP.

La vulnérabilité a été révélée mi-décembre; cependant, les attaques à l’échelle d’Internet ont commencé après le 11 janvier, lorsque le code d’exploitation de preuve de concept a été publié en ligne et est devenu largement accessible à tous.

Initialement, les correctifs n’étaient pas disponibles pour la vulnérabilité CVE-2019-19781. Au lieu de cela, Citrix a recommandé une série d’atténuations que les propriétaires de serveurs pourraient appliquer pour sécuriser leurs appareils.

Ces mesures d’atténuation n’ont pas toujours fonctionné, ou de nombreuses entreprises ne les ont pas appliquées. Avec la large disponibilité du code de preuve de concept, les attaques sur les serveurs Citrix ont sévi ces dernières semaines.

La bonne nouvelle est que plus tôt dans la journée, Citrix a terminé la publication des correctifs pour toutes les versions vulnérables , ce qui signifie que les entreprises peuvent appliquer un correctif permanent à leurs serveurs en mettant à jour la version la plus récente du micrologiciel Citrix.

LE PATCH PORTE SES FRUITS

Actuellement, le processus de correction semble bien se passer. En décembre, le nombre de systèmes vulnérables était estimé à 80 000 serveurs , un nombre qui est tombé à environ 25 000 mi-janvier et à environ 11 000 systèmes ces derniers jours.

Plus tôt cette semaine, Citrix et FireEye ont également collaboré pour créer un outil que les propriétaires de serveurs Citrix peuvent exécuter pour voir si leurs appliances ont été piratées avec l’exploit CVE-2019-19781, avant d’appliquer le correctif.

Si la menace des ransomwares ne suffit pas pour effrayer certaines entreprises en appliquant les correctifs Citrix pour CVE-2019-19781, alors les entreprises doivent également savoir que certains criminels détournent actuellement des serveurs Citrix et vendent les accès sur des forums de piratage, selon une image que les chercheurs de Under the Breach ont partagée la semaine dernière.

Source: « https://www.zdnet.com/article/hackers-target-unpatched-citrix-servers-to-deploy-ransomware/«