Le ministère américain de la Santé et des Services sociaux (HHS) a averti cette semaine les hôpitaux de corriger la vulnérabilité critique de Netscaler « Citrix Bleed » activement exploitée lors d'attaques.
Les gangs de ransomwares utilisent déjà Citrix Bleed (suivi comme CVE-2023-4966) pour pirater les réseaux de leurs cibles en contournant les exigences de connexion et les protections d'authentification multifactorielle.
L'équipe de sécurité du HHS, le Centre de coordination de la cybersécurité du secteur de la santé (HC3), a émis une alerte sectorielle a exhorté jeudi tous les organismes de santé américains à sécuriser les appareils vulnérables NetScaler ADC et NetScaler Gateway contre les attaques des gangs de ransomwares.
« La vulnérabilité Citrix Bleed est activement exploitée et HC3 exhorte fortement les organisations à effectuer la mise à niveau pour éviter de nouveaux dommages contre le secteur de la santé et de la santé publique (HPH). Cette alerte contient des informations sur la détection des attaques et l'atténuation de la vulnérabilité. » HC3 prévenu.
« HC3 encourage fortement les utilisateurs et les administrateurs à revoir ces actions recommandées et à mettre à niveau leurs appareils afin d'éviter de graves dommages au secteur HPH. »
Avant cela, Citrix avait émis deux avertissements demandant aux administrateurs de mettre immédiatement à jour leurs appliances. Il a également rappelé aux administrateurs de supprimer toutes les sessions actives et persistantes pour empêcher les attaquants de voler les jetons d'authentification même après l'installation des mises à jour de sécurité.
Récemment, la CISA et le FBI ont également mis en garde contre la participation du groupe de ransomwares LockBit aux attaques. L'une de leurs victimes, le géant de l'aérospatiale Boeing, a partagé des détails sur la façon dont une filiale de LockBit a violé son réseau en octobre à l'aide d'un exploit Citrix Bleed.
Des milliers de serveurs exposés, dont beaucoup ont déjà été piratés
Kevin Beaumont, expert en cybersécurité a suivi et analysé les cyberattaques contre diverses victimes dans le monde, notamment Boeing, la Banque industrielle et commerciale de Chine (ICBC), DP World et Allen & Overyet a découvert qu'ils avaient tous probablement été violés à l'aide d'exploits Citrix Bleed.
Beaumont révélé Vendredi, un fournisseur de services gérés (MSP) basé aux États-Unis a subi une attaque de ransomware par un groupe exploitant une vulnérabilité Citrix Bleed il y a plus d'une semaine.
Le MSP s'efforce toujours de sécuriser ses appliances Netscaler vulnérables, qui pourraient potentiellement exposer les réseaux et les données de ses clients à de nouvelles attaques.
Citrix a corrigé la faille début octobre, mais Mandiant a révélé plus tard qu'elle était activement exploitée en tant que zero-day depuis au moins fin août 2023.
Le 25 octobre, la société externe de gestion de surfaces d'attaque AssetNote a publié un exploit de preuve de concept CVE-2023-4966 montrant comment les jetons de session peuvent être volés sur des appliances Citrix non corrigées.
À la mi-novembre, un chercheur japonais sur les menaces Yutaka Sejiyama a déclaré à BleepingComputer que plus de 10 000 serveurs Citrix (dont beaucoup appartiennent à des organisations critiques dans de nombreux pays) étaient toujours vulnérables aux attaques Citrix Bleed, plus d'un mois après la correction de la faille critique.
« Cet avertissement urgent de HC3 signifie la gravité de la vulnérabilité Citrix Bleed et le besoin urgent de déployer les correctifs et mises à niveau Citrix existants pour sécuriser nos systèmes », dit John Riggi, conseiller en cybersécurité et risques pour l'American Hospital Association, un groupe professionnel du secteur de la santé qui représente 5 000 hôpitaux et prestataires de soins de santé aux États-Unis.
« Cette situation démontre également l'agressivité avec laquelle les gangs étrangers de ransomwares, principalement des groupes russophones, continuent de cibler les hôpitaux et les systèmes de santé. Les attaques de ransomwares perturbent et retardent la prestation des soins de santé, mettant ainsi la vie des patients en danger.