Au cours de la dernière semaine, une campagne de reconnaissance coordonnée a été détectée pour cibler l'infrastructure Citrix NetScaler (également connue sous le nom de Citrix ADC). Selon l'analyse publiée par GreyNoise, les analyses ont été effectuées entre le 28 janvier et le 2 février et ont utilisé une marée d'adresses IP pour localiser les panneaux d'authentification exposés et recueillir des informations sur les versions de produits, ce qui indique un travail de cartographie avant une exploitation éventuelle.
Les chiffres fournis par GreyBruit sont frappants: Plus de 63 000 adresses IP différentes ont commencé 111 834 séances d'enquête, et environ 79 % du trafic observé ont attaqué les leurres (pots de miel) de Citrix Gateway. De ce volume, environ 64 % provenaient de mandataires résidentiels, des adresses qui semblent correspondre aux consommateurs des exploitants de FSI et qui, par leur apparence, échappent facilement aux filtres fondés sur la réputation. Les 36 % restants provenaient d'une seule IP hébergée à Microsoft Azure.
Les motifs de l'attaque ne ressemblent pas à un balayage aléatoire. Premièrement, la grande majorité des séances ont porté sur l'identification des interfaces d'accès à distance par le biais de demandes de / login / LogonPoint / index.html, la voie typique du panneau d'authentification Citrix. Cette masse et ce comportement répété suggèrent un intérêt particulier pour la localisation de portails exposés à grande échelle. En parallèle, le 1er février, une intense « sprint » d'environ six heures a été observée au cours de laquelle une douzaine de PI ont lancé près de 1 900 sessions à la recherche de l'installateur Endpoint Analysis / epa / scripts / win / nsé _ setup.exe, ce qui indique une tentative pour identifier rapidement quelles versions de Citrix sont présentes et si elles contiennent des artefacts qui rapportent leur version.
Un autre signe pertinent est l'impression de l'agent utilisateur: GreyBruit chaînes observées qui ont imité le navigateur Chrome 50, une ancienne version publiée en 2016. Ces impressions de navigateur obsolètes et l'utilisation massive de procurations résidentielles sont des techniques courantes pour rendre la détection difficile et éviter les contrôles qui bloquent les adresses IP avec mauvaise réputation.
Pourquoi cette reconnaissance est-elle une préoccupation? Parce que lorsqu'un attaquant cartographie avec précision une plate-forme et ses versions, il peut préparer des exploits spécifiques contre des vulnérabilités connues. Dans le cas de Citrix, des défaillances de gravité critique sont apparues ces derniers mois et ont été exploitées dans le passé; par conséquent, la détection d'enquêtes visant à identifier les versions et les itinéraires de l'EPA suscite des inquiétudes quant à la possibilité de préparer une attaque ciblée. Pour suivre le rapport original et ses indicateurs techniques, GreyBruit a publié son analyse complète ici: labs.greynoise.io - Rapport GreyBruit.
Les recommandations découlant de ces constatations sont pratiques et vont de la prévention à la détection précoce. Parmi les mesures conseillées par les chercheurs, mentionnons la surveillance des applications utilisant des agents d'utilisateur suspects (p. ex. les chaînes liées à l'exportateur de boîtes noires) lorsqu'elles proviennent d'origines non autorisées, ce qui génère des alertes à l'accès externe à l'information. / epa / scripts / win / nsé _ setup.exe et de détecter des modèles d'inscription rapide contre les itinéraires de connexion tels que / login / LogonPoint /. Ils recommandent également de surveiller les demandes HEAD pour les paramètres Citrix Gateway et de prêter attention aux impressions de navigateur obsolètes qui ne correspondent pas au profil attendu des utilisateurs légitimes.
Au niveau de la configuration et du durcissement, des conseils pratiques incluent de vérifier s'il est vraiment nécessaire d'exposer les passerelles Citrix directement à Internet, limitant l'accès au répertoire / epa / scripts / uniquement aux réseaux gérés, supprimer ou réduire les informations de version que les serveurs retournent aux réponses HTTP et surveiller l'activité inhabituelle des FAI résidentiels situés dans des régions où l'organisation n'a pas d'utilisateurs. GreyBruit a également fourni les adresses IP identifiées par les équipes de sécurité pour vérifier leurs propres dossiers.
Si vous gérez des passerelles Citrix ou des environnements qui dépendent de Citrix ADC, il est conseillé de consulter régulièrement les propres communications de sécurité du fabricant et les listes de vulnérabilités connues. Citrix tient une page dédiée aux avertissements de sécurité et aux mises à jour où des correctifs officiels et des mesures d'atténuation sont publiés: support.citrix.com - Sécurité Citrix. En outre, des organismes qui suivent les vulnérabilités exploitées sur le terrain, comme la US Infrastructure and Cybersecurity Agency. Ils fournissent des catalogues et des avertissements qui aident à prioriser les correctifs critiques : CISA - Catalogue des vulnérabilités exploitées.
Quel apprentissage cette campagne laisse-t-elle? La leçon est double : d'une part, les attaquants continuent d'affiner leurs techniques pour éviter d'être bloqués par de simples filtres de réputation ; d'autre part, l'énumération massive et ordonnée de routes et d'artefacts en béton révèle des intentions qui vont au-delà de simples relevés occasionnels. Pour l'équipement de sécurité qui signifie augmenter la télémétrie sur l'accès aux portes de liaison, régler les règles de corrélation qui détectent les éclats de demandes similaires et protéger en exposant le minimum essentiel à l'extérieur.
En fin de compte, il ne s'agit pas seulement de réagir lorsqu'une exploitation publique apparaît, mais de détecter et de freiner la cartographie précédente qui précède souvent de telles attaques. Le maintien de systèmes estampillés, la limitation de l'exposition au service critique et la présence d'alertes qui reconnaissent les modèles de reconnaissance sont simples, mais des mesures efficaces pour augmenter le coût des futures attaques et réduire la probabilité d'être la prochaine cible.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...