Le MSP (Managed Services Provider) britannique CST, spécialisé dans le secteur juridique, essuie depuis près d’une semaine une cyberattaque colossale pénalisant de nombreux cabinets d’avocats et les acteurs de l’immobilier.
Depuis le 24 novembre, le marché de la pierre anglaise est l’arrêt. En cause, une panne informatique impactant l’un des principaux fournisseurs de services managés (MSP), spécialisé dans le monde du juridique. Résultat, un grand nombre de cabinets d’avocats et de notaires n’ont plus accès aux systèmes d’information dédiés, entre autres, à la gestion des transactions immobilières. Si pour l’instant aucune information n’a été divulguée quant à l’origine de la panne, la piste du ransomware paraît évidente. La société a néanmoins annoncé qu’elle enquêtait sur l’incident avec l’aide d’une société de cybercriminalité. Elle prévoit de restaurer complètement les services, mais pour le moment, elle n’est pas en mesure de fournir un calendrier précis pour une restauration complète.
| Le message de CTS sur son site |
|---|
| « Nous subissons une panne de service qui a impacté une partie des services que nous fournissons à certains de nos clients. La panne a été causée par un cyber-incident. Nous travaillons en étroite collaboration avec une société mondiale de cybercriminalité de premier plan pour nous aider à mener une enquête urgente sur l’incident et à nous assister dans le rétablissement du service.
Nous continuons à travailler 24 heures sur 24 avec l’aide d’experts tiers. Même si nous sommes convaincus que nous serons en mesure de rétablir les services, nous ne sommes pas en mesure de donner un calendrier précis pour un rétablissement complet. Nous continuerons de communiquer directement avec ceux de nos clients qui sont touchés par la panne de service, en fournissant des mises à jour régulières sur l’état de nos travaux de rétablissement des services et de nos enquêtes sur l’incident. » |
entre 80 et 200 cabinets d’avocats POTENTIELLEMENT touchés
Quelques faits rapportés par Security Affairs
- The Record Media connaît au moins un cabinet d’avocats qui a été directement touché par la faille de sécurité de CTS.
- Estate Agent Today a signalé que des acteurs malveillants auraient exploité la vulnérabilité CitrixBleed ( CVE-2023-4966 ). La faille a permis aux attaquants d’obtenir un premier accès à l’infrastructure de l’organisation.
- Le 10 octobre, Citrix a publié un bulletin de sécurité lié à la vulnérabilité critique CVE-2023-4966 dans les appareils Citrix NetScaler ADC/Gateway.
- Fin octobre, Citrix a exhorté les administrateurs à sécuriser activement toutes les appliances NetScaler ADC et Gateway. La société était au courant d’attaques sauvages exploitant la vulnérabilité CVE-2023-4966
- Les médias locaux rapportent qu’entre 80 et 200 cabinets d’avocats auraient pu être touchés, selon les estimations partagées par les clients de CTS
CitrixBleed, déjà exploitée par Lockbit et Medusa
Pour Satnam Narang, Senior Staff Research Engineer de Tenable, « L’exploitation massive de CVE-2023-4966, une vulnérabilité critique de divulgation d’informations sensibles dans les produits NetScaler ADC et Gateway de Citrix, est en cours depuis plusieurs semaines. Surnommé « CitrixBleed » par les chercheurs, on estimait à l’époque à 30 000 le nombre d’actifs en contact avec l’internet qui étaient vulnérables à cette faille. Une analyse récente suggère que ce nombre a diminué à plus de 10 000 actifs, dont la majorité est située aux États-Unis.” Le code d’exploitation de la preuve de concept étant accessible au public, divers acteurs de la menace ont exploité cette faille dans le cadre de leurs attaques au cours des dernières semaines, y compris des affiliés du groupe de ransomwares LockBit et Medusa. Les organisations qui utilisent les produits Netscaler ADC et Gateway doivent en priorité mettre en place des correctifs sur ces systèmes immédiatement car la menace d’exploitation est extrêmement élevée. Après avoir retracé les attaques contre diverses entreprises, notamment la Banque industrielle et commerciale de Chine (ICBC), DP World AU, Allen & Overy et Boeing, le chercheur Kevin Beaumont a découvert que les cybercriminels ciblaient une vulnérabilité de Citrix Netscaler, appelée CitrixBleed.
| “Les MSP sont dans la ligne de mire de pirates” |
|---|
 Analyse de Dirk SchraderField CISO EMEA and VP of Security Research chez Netwrix |
| Selon l’étude Netwrix 2023, 61 % des fournisseurs de services managés (MSP) ont été victimes d’une cyberattaque au cours des 12 derniers mois. Les MSP sont une cible de choix pour les cybercriminels, car la compromission d’un seul compte d’un MSP peut donner à un adversaire un accès à privilèges aux systèmes de plusieurs clients. Pour réduire le risque d’attaques par compromission de compte, les MSP doivent mettre en œuvre des politiques de mots de passe forts, appliquer strictement le principe du moindre privilège, vérifier continuellement les activités suspectes et s’assurer qu’ils peuvent répondre rapidement aux menaces.
Opter pour une approche de moindre privilège Pour une organisation, il est important d’utiliser toutes les options disponibles pour mettre en place des contrôles supplémentaires pour tout fournisseur tiers. La meilleure approche consisterait à adopter l’approche du moindre privilège. Tout compte qui est attribué à une partie externe telle qu’un MSP devrait être limité dans son accès à l’entreprise en fonction de la tâche à effectuer. L’accès ne devrait exister que pour la durée nécessaire, avec juste assez de privilèges pour la mission à accomplir. Lorsqu’une tâche centrale à l’échelle du domaine doit être réalisée, cette approche de « compte éphémère » est encore plus importante et doit être associée à une couche supplémentaire de preuve d’identité. Quelques précautions de première instance Pour les clients, il est essentiel de prendre les mesures suivantes lorsque leur fournisseur de services managés les informe d’une compromission :
|
