Les pirates exploitent un trojan horse du logiciel Citrix qui a été corrigé

Une faille critique dans le logiciel de Citrix Programs Inc., chief en matière d’accès à distance permettant aux utilisateurs de travailler n’importe où, a été exploitée par des pirates informatiques et des groupes criminels soutenus par le gouvernement, selon un cyber-responsable américain.

L. a. vulnérabilité, baptisée Citrix Bleed, a été secrètement exploitée par des pirates informatiques pendant des semaines avant d’être découverte et un correctif publié le mois dernier, selon les publications en ligne de Citrix et les chercheurs en cybersécurité. Depuis lors, les chercheurs affirment que les pirates ont accéléré leur exploitation de l. a. faille, ciblant certains des milliers de purchasers qui n’ont pas appliqué le correctif.

« Nous reconnaissons qu’un huge éventail d’acteurs malveillants, notamment des États-nations et des groupes criminels, cherchent à tirer parti de l. a. vulnérabilité Citrix Bleed », a déclaré Eric Goldstein, directeur exécutif associé pour l. a. cybersécurité à l. a. Cybersecurity and Infrastructure Safety Company des États-Unis, connue sous le nom de « Cybersecurity and Infrastructure Safety Company ». comme CISA. , selon Bloomberg Information.

Goldstein, qui a refusé de révéler leur identité, a déclaré que l. a. CISA apportait une help aux victimes. Il a déclaré que les adversaires pourraient exploiter cette vulnérabilité pour voler des informations sensibles et tenter d’obtenir un accès plus huge au réseau.

Citrix n’a pas répondu aux messages sollicitant des commentaires.

Parmi les groupes criminels exploitant l. a. vulnérabilité de Citrix Bleed determine l’un des pires gangs de piratage informatique au monde, LockBit, selon le consortium mondial de sécurité bancaire FS-ISAC, qui a publié mardi un bulletin de sécurité sur les risques pour les establishments financières.

Le Trésor américain a également déclaré qu’il enquêtait pour savoir si les vulnérabilités de Citrix étaient responsables de l. a. récente violation de ransomware débilitante contre l’Business and Industrial Financial institution of China Ltd, selon une personne proche du file. Le piratage a laissé l. a. plus grande banque du monde incapable de régler une grande partie des transactions sur les bons du Trésor américain. ICBC n’a pas répondu à une demande de commentaires.

LockBit a revendiqué l. a. responsabilité du piratage de l. a. Banque industrielle et commerciale de Chine (ICBC), et un représentant du gang a déclaré que l. a. banque avait payé une rançon, bien que Bloomberg n’ait pas été en mesure de confirmer cette confirmation de manière indépendante. Le Wall Side road Magazine avait déjà publié le mémorandum du Trésor américain.

Citrix a annoncé avoir découvert le trojan horse Citrix Bleed le 10 octobre et publié un correctif. L. a. société a déclaré qu’à l’époque, rien n’indiquait que quiconque avait exploité cette vulnérabilité.

Cependant, depuis lors, plusieurs purchasers Citrix ont découvert qu’ils avaient été compromis avant l. a. newsletter du correctif, selon un article de Citrix et des chercheurs en cybersécurité. L’une des premières victimes a été le gouvernement européen, selon une supply proche du file, qui a refusé de nommer le will pay.

Le trojan horse Citrix Bleed pourrait permettre à un pirate informatique de prendre le contrôle du système d’une victime, selon CISA. L. a. faille mérite son surnom automotive elle peut divulguer des informations sensibles de l. a. mémoire d’un appareil, selon Unit 42, l. a. branche de recherche de l. a. société de cybersécurité Palo Alto Networks Inc. Les données divulguées peuvent inclure des « jetons de consultation » permettant d’identifier et d’authentifier un visiteur. Un website Internet ou un provider spécifique sans saisir de mot de passe.

L. a. société de cybersécurité Mandiant a commencé à enquêter sur l. a. vulnérabilité dès que Citrix l’a signalée et a finalement trouvé plusieurs victimes avant que l. a. vulnérabilité ne soit annoncée ou corrigée, remontant à fin août.

Charles Carmakal, directeur de l. a. technologie au sein de l. a. branche conseil de Mandiant, a déclaré à Bloomberg que ces attaques initiales ne semblaient pas avoir de motivation financière. Il a ajouté que Mandiant était encore en educate d’évaluer si ces premiers piratages avaient été menés à des fins d’espionnage par un État-nation, peut-être l. a. Chine.

Lorsqu’on lui a demandé ses commentaires, l’ambassade de Chine à Washington n’a pas abordé l. a. vulnérabilité de Citrix mais a plutôt fait référence aux commentaires du 10 novembre du Département d’État. “L. a. Banque industrielle et commerciale de Chine surveille de près cette affaire et a pris des mesures d’intervention d’urgence efficaces et s’est engagée dans une supervision et une verbal exchange appropriées afin de réduire les risques, l’have an effect on et les dommages”, a indiqué le ministère.

Citrix a mis à jour ses directives le 23 octobre, recommandant non seulement d’appliquer des correctifs, mais aussi de « supprimer toutes les periods actives et persistantes ».

Des milliers d’entreprises n’ont pas mis à jour leur logiciel Citrix et n’ont pas pris les autres mesures recommandées de toute urgence par l’entreprise, l. a. CISA et d’autres. Les équipes de l’Unité 42 de Palo Alto, qui ont également observé les groupes de ransomwares exploitant cette vulnérabilité, ont déclaré dans un article de weblog du 1er novembre qu’au moins 6 000 adresses IP semblaient vulnérables, le plus grand nombre de ces appareils étant situé aux États-Unis. vers d’autres appareils aux États-Unis. Allemagne, Chine et Royaume-Uni.

GreyNoise, une société qui analyse l’analyse par adresses IP, a signalé avoir vu 335 adresses IP uniques tenter d’utiliser l’exploit Citrix Bleed depuis qu’elle a commencé à le suivre le 17 octobre.

LockBit est le nom d’un gang et un sort de ransomware qu’ils produisent. Le FBI se dit responsable de plus de 1 700 attaques contre les États-Unis depuis 2020.

Le chercheur en sécurité Kevin Beaumont a déclaré que l’exploitation de l. a. vulnérabilité Citrix par LockBit s’étend à de nombreuses victimes. Il a déclaré dans un article sur Medium que le cupboard d’avocats Allen & Overy avait été piraté by the use of l. a. faille Citrix et que le géant de l’aérospatiale Boeing Co. et l’opérateur portuaire DP Global Plc disposait de machines Citrix non corrigées, permettant aux pirates informatiques d’exploiter l. a. faille.

Beaumont a décrit l. a. faille comme « incroyablement facile à exploiter » et a ajouté : « L. a. réalité de l. a. cybersécurité dans laquelle nous vivons actuellement est que les young people se retrouvent dans des gangs du crime organisé avec des bazookas numériques. »

Les représentants d’Allen & Overy, DP Global et Boeing n’ont pas précisé si le trojan horse Citrix avait été exploité. Un porte-parole de l’entreprise a déclaré que l’incident chez Allen & Overy avait affecté un petit nombre de serveurs de stockage, mais que les systèmes centraux n’avaient pas été affectés. Un porte-parole de l. a. société a déclaré que l. a. violation, qui a affecté les pièces détachées et les systèmes de distribution de Boeing, faisait toujours l’objet d’une enquête.

Un représentant de DP Global a déclaré que l. a. société était limitée dans les détails qu’elle pouvait fournir en raison de l. a. nature proceed de l’enquête. Beaumont n’a pas répondu à une demande de commentaire.

2023 Bloomberg LP Distribué par Tribune Content material Company, LLC.