Dans un bulletin de sécurité conjoint des agences américaine et australienne de sécurité informatique, le constructeur aéronautique Boeing révèle comment son unité de distribution a été piratée par le rançongiciel LockBit 3.0, via la faille Citrix Bleed.
Pour mémoire, le mois dernier, Citrix a corrigé une vulnérabilité critique (CVE-2023-4966), surnommée Citrix Bleed. D’un indice de gravité CVSS de 9,4, elle était exploitée depuis le mois d’août par des organismes cybercriminels pour prendre et détourner des sessions actives d’authentification. La faille affecte les appliances NetScaler web application delivery control et NetScaler Gateway.
Sans rentrer dans les détails du rapport d’analyse, LockBit a utilisé la vulnérabilité Citrix Bleed pour détourner une session d’authentification dans une appliance NetScaler installée au sein de l’unité de distribution de Boeing. Le cyber-gang a exécuté un script PowerShell puis installé des outils de gestion de systèmes pour pouvoir mener tranquillement ses attaques à distance plus tard.
Les informations partagées par Boeing ont permis à l’Anssi américaine – la CISA – de prévenir d’autres victimes et cibles potentielles aux Etats-Unis.
Depuis le 23 octobre dernier, l’Anssi alerte également les entreprises françaises détentrices d’applicances Netscaler ADC et Gateway, et leur rappelle de réaliser des investigations sans délai.
Parmi les organisations attaquées via Citrix Bleed en France, notre confrère du MagIT cite le SDIS du Loiret, le Syndicat Interdépartemental pour l’Assainissement de l’Agglomération Parisienne (SIAAP) et Derichebourg Multiservices.
Le bulletin de sécurité de Citrix avec les étapes à suivre et les mesures correctives est accessible ici.