Mise à jour Citrix: un patch, des systèmes restaurés et Robin des Bois

© .
Els Bellens

Avec la sortie d’un premier patch et quelques correctifs supplémentaires planifiés pour vendredi, les entreprises se mettent à restaurer leurs systèmes. Ces derniers jours, nombre de grandes firmes et institutions publiques avaient par précaution déconnecté leurs serveurs Citrix.

Un premier patch pour la faille dans Citrix Gateway et Citrix Application Delivery Controller est sorti. La brèche avait été annoncée fin décembre déjà et a été depuis lors activement abusée pour s’introduire dans des entreprises et institutions. Dans l’attente d’un correctif permanent, des dizaines d’organisations ont par conséquent décidé de désactiver leur réseau Citrix.

Aux Pays-Bas, où le logiciel est utilisé par toute une série de grandes institutions publiques et de villes, on craignait une escalade. Citrix est surtout utilisé pour permettre à des personnes de travailler chez elles. Or sans les serveurs, de nombreux fonctionnaires ont dû de nouveau faire la navette vers leur lieu de travail. L’ANWB, un centre de trafic néerlandais, avait même mis en garde contre des ‘files Citrix’, mais tout ne s’est finalement pas trop mal passé sur la route. Il y eut certes plus de trafic, selon l’ANWB sur RTL Z en fin de journée, mais cela peut aussi être dû au brouillard qui régnait en maître sur le pays.

Les systèmes sont à présent progressivement restaurés. C’est ainsi que les grandes villes néerlandaises comme Amsterdam et Rotterdam ont redémarré leur réseau Citrix. Elles déclarent avoir pris des mesures pour éviter les abus. Citrix développe notamment du logiciel pour le télétravail, et ses systèmes sont populaires dans de nombreuses entreprises, pouvoirs publics, hôpitaux et instituts d’enseignement. La faille Citrix est étonnante dans la mesure où il s’est écoulé un mois environ entre son annonce et la sortie du premier patch. Cela a donné aux criminels l’opportunité de tenter d’exploiter le bug. On ne sait cependant provisoirement pas encore si beaucoup de données ont été dérobées ces dernières semaines. Des experts en sécurité et le National Cybersecurity Centrum néerlandais suggèrent déjà que les entreprises doivent bien contrôler leurs serveurs à la recherche de portes dérobées ou autres maliciels, surtout si elles n’ont désactivé leurs systèmes que tardivement.

Robin des Bois, quoique!

Quelques entreprises qui n’ont pas encore installé leur patch, ont vu de manière inattendue ces derniers jours leurs serveurs se rafistoler. Un hacker serait en effet occupé à nettoyer et à mettre à jour de son propre chef des serveurs agressés, afin d’en terminer avec les contaminations. Il est probable que le pirate en question ait déjà installé sa propre porte dérobée. Il s’agit pour lui d’une façon de s’assurer que d’autres ne pénètrent pas sur son territoire.

C’est du moins ce que révèle l’entreprise de cyber-sécurité FireEye, qui a découvert les attaques. L’opération a été baptisée NOTROBIN. Si l’agresseur obtient un accès à un serveur vulnérable, tout le software nuisible en est supprimé. C’est ainsi par exemple que des crypto-extracteurs et autres maliciels sont effacés. En même temps, NOTROBIN colmate la brèche dans Citrix, ce qui fait que toute tentative d’intrusion ultérieure n’a aucune chance d’aboutir. NOTROBIN garde cependant une porte dérobé ouverte: quiconque connaît une phrase secrète, comme une sorte de mot de passe, peut donc quand même accéder au serveur.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire