Campagnes exploratoires en force brute contre les systèmes Citrix NetScaler

Des acteurs malveillants visent les systèmes Citrix NetScaler mal configurés et obsolètes avec une campagne exploratoire d'attaques en force brute.

Citrix NetScaler est un contrôleur de mise à disposition d'applications (ADC) populaire qui est devenu une cible fréquente des acteurs de la menace ces dernières années. En janvier 2024, par exemple, deux vulnérabilités inédites dans les produits NetScaler ADC et NetScaler Gateway, ont été dévoilées. Elles étaient déjà activement exploitées.

L'Office fédéral allemand de la sécurité de l'information (BSI), l'homologue de l'Agence nationale de la sécurité des systèmes d'information (Anssi), a mis en garde contre une augmentation des attaques en force brute contre les dispositifs NetScaler dans un avis publié mardi. Le BSI a fait état de rapports d'attaques provenant de diverses organisations dans le secteur des infrastructures critiques ainsi que de partenaires internationaux.

Cette nouvelle de l'augmentation des attaques a été mentionnée pour la première fois jeudi dernier dans un billet de blog de Cyderes, un fournisseur de services de sécurité gérés basé à Kansas City. Cyderes a déclaré avoir observé une « augmentation significative » des attaques en force brute visant des dispositifs Citrix NetScaler mal configurés ou obsolètes. Ethan Fite, directeur des opérations de services managés de Cyderes, écrit dans son billet que ces attaques provenaient principalement d'un fournisseur de services Cloud anonyme de Hong Kong et qu'elles visaient plusieurs environnements clients. De plus, l'activité coïncide « avec les récentes divulgations de vulnérabilités critiques affectant Citrix NetScaler ».

Le billet de blog fait référence, à titre d'exemple, aux CVE-2024-8534 et CVE-2024-8535 - deux failles affectant NetScaler ADC et Gateway qui ont été divulguées et corrigées le mois dernier. Dans son avis, Citrix décrit la CVE-2024-8534 comme une « vulnérabilité de sécurité de la mémoire conduisant à une corruption de la mémoire et à un déni de service » (score CVSS 8,4) et la CVE-2024-8535 comme « un utilisateur authentifié peut accéder à des capacités utilisateur non souhaitées » (score CVSS 5,8). La société mère de Citrix, Cloud Software Group, a demandé aux clients concernés d'installer les versions mises à jour qui corrigent ces problèmes.

« Les attaquants utilisent une stratégie de force brute distribuée, changeant souvent d'adresse IP et de numéro de système autonome (ASN) à chaque tentative, ce qui rend la détection et l'atténuation difficiles », relève Ethan Fite.

Le billet de blog de Cyderes comprend une liste d'adresses IP et de plages associées à l'activité malveillante observée, et le MSSP recommande aux utilisateurs de NetScaler de bloquer les plages IP à haut risque pour réduire l'exposition.

En outre, Ethan Fite estime que les clients NetScaler devraient appliquer des correctifs et mettre à jour leurs dispositifs avec les versions supportées, configurer le protocole de bureau à distance de manière sécurisée ou le désactiver complètement s'il n'est pas nécessaire, et surveiller les activités anormales.

Dans un courriel aux rédactions d'Informa TechTarget, un porte-parole de Citrix a appuyé les recommandations de Cyderes : « nous sommes d'accord avec les recommandations formulées dans le blog de Cyderes. Citrix encourage les organisations à entretenir leurs systèmes NetScaler en les mettant à jour avec les dernières versions, en appliquant les correctifs de sécurité et en veillant à ce que les configurations soient correctes ».

Caitlin Condon, directrice de la veille sur les vulnérabilités chez Rapid7, ajoute que, bien que le fournisseur n'ait pas observé ce modèle d'activité spécifique, les activités de force brute telles que celles décrites dans l'avis d'Ethan Fite ont un niveau de base « incroyablement élevé ».

« Rapid7 étudie régulièrement les attaques par force brute affectant ses clients, mais n'a pas observé de schémas particuliers concernant spécifiquement les dispositifs Citrix NetScaler », a-t-elle indiqué dans un courriel. Toutefois, il convient selon elle de « de noter que le niveau de base de ces attaques est incroyablement élevé en permanence. Les VPN, les passerelles sécurisées et tout autre dispositif de ce type exposé sur Internet sont presque certainement soumis à des attaques en force brute rapides et constantes. La défense en profondeur est la meilleure politique pour les organisations, en commençant par des éléments de base tels que la mise en œuvre de la MFA - et son application ! - et que l'exposition à l'Internet est limitée dans la mesure du possible ».