peterzayda - stock.adobe.com

Comment LockBit a piraté Boeing via Citrix Bleed

Alors que le monde entier s’alarme de l’impact de la vulnérabilité Citrix Bleed, Boeing a partagé les détails de son expérience aux mains de l’équipe du ransomware LockBit.

L’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA), le FBI et le centre australien de cybersécurité (ACSC) ont révélé des informations détaillées sur la manière dont un acteur lié à la franchise mafieuse LockBit 3.0 a pu exploiter la vulnérabilité dite Citrix Bleed (CVE-2023-4966) pour obtenir un accès initial aux systèmes de l’unité de distribution et de pièces détachées du géant de l’aéronautique Boeing.

Ces informations ont été volontairement partagées par Boeing et publiées dans un avis commun afin de sensibiliser à la portée et à l’impact de la vulnérabilité Citrix Bleed, qui affecte les appliances Citrix NetScaler web application delivery control et NetScaler Gateway. 

L’exploitation réussie de la CVE-2023-4966, qui a reçu un score CVSS de 9,4, peut permettre à des attaquants de détourner des sessions authentifiées existantes, contournant ainsi l’authentification à facteurs multiples (MFA) ou d’autres mécanismes d’authentification forte.

Mandiant a révélé avoir constaté une exploitation de la vulnérabilité CVE-2023-4966 de manière inédite, ou 0day, à partir de la fin du mois d’août contre des organisations technologiques et gouvernementales. La piste du cyberespionnage était considérée et LeMagIT a demandé à la Cour pénale internationale si elle avait été concernée, mais sans obtenir de réponse.

D’autres cas potentiellement liés

Allen & Overy, Boeing, DP World Australia, et ICBC ont tous les quatre exploité un système Citrix NetScaler affecté par la vulnérabilité CVE-2023-4966 dite Citrix Bleed. Tous les quatre ont été victimes de cyberattaque. Pour trois d’entre eux, à l’heure où sont écrites ces lignes, la cyberattaque a impliqué la franchise mafieuse LockBit 3.0. 

Les données du moteur de recherche spécialisé Onyphe font ressortir des systèmes affectés par la vulnérabilité Citrix Bleed chez quatre autres victimes revendiquées depuis mi-octobre sur la vitrine de LockBit 3.0 : PSMI, CTC, Alphadyne Asset Management, MICROSERVE Informations-Management GmbH et Sabre. Ce dernier vient d’indiquer avoir été attaqué le 16 novembre. 

Le SDIS du Loiret, également affecté par la cyberattaque ayant frappé le département début novembre, exploitait également un système concerné par Citrix Bleed. Cette observation vaut également pour le Syndicat Interdépartemental pour l’Assainissement de l’Agglomération Parisienne (SIAAP), attaqué le 17 novembre, l’opérateur du tramway de Rostock (19 novembre), Okada Manila – qui réfute toute cyberattaque –, l’équipementier automobile Yanfeng ou encore Derichebourg Multiservices, frappé autour du 10 novembre.

Sollicité à plusieurs reprises par la rédaction, ce dernier n’a d’ailleurs pas même encore accusé réception de nos demandes. Ironie de l’histoire, Derichebourg Multiservices a été racheté par Elior fin 2022, qui a été lui-même victime d’une cyberattaque avec rançongiciel durant l’été 2020.

Des victimes évitées

Les éléments apportés par Boeing ont également permis à la CISA de prendre des mesures pour aider d’autres victimes : 300 organisations apparaissant utiliser des instances vulnérables ont pu être prévenues. En France également, des entreprises ont été alertées, à l’instar du groupe Open qui a mis à jour un système Citrix concerné le 9 novembre.

Dans le cadre de l’attaque contre Boeing, l’affidé LockBit a utilisé Citrix Bleed pour accéder à des cookies de session NetScaler valides et établir une session d’authentification au sein de l’appliance NetScaler sans avoir besoin de nom d’utilisateur, mot de passe ou jeton MFA.

Par la suite, LockBit a exécuté un script PowerShell et déposé un certain nombre d’outils d’administration et de supervision à distance, notamment AnyDesk et Splashtop, afin de mener ses activités ultérieures.

La CISA, le FBI et l’ACSC encouragent les administrateurs de réseau à appliquer les mesures d’atténuation contenues dans leur rapport, en particulier à isoler toutes les appliances NetScaler et à rechercher les activités malveillantes sur leurs réseaux à l’aide des méthodes de détection et des indicateurs de compromission décrits qui figurent tous dans le rapport. 

De son côté, Citrix a publié une nouvelle note d’information intégrant des étapes à suivre après application des correctifs disponibles depuis le mois dernier.

Pour approfondir sur Menaces, Ransomwares, DDoS