[Pays-Bas] Attaque contre une clinique néerlandaise à travers des applications Citrix

Des attaquants ont tenté de s’introduire dans les systèmes du Medisch Centrum Leeuwarden, une clinique située aux Pays-Bas. Par mesure de précaution, la clinique a bloqué toute connexion allant ou venant de l’extérieur. A cause de cela, les patients ne peuvent plus accéder à leur dossier médical, la communication avec les autres hôpitaux ou cliniques est impossible et les employés du Medisch Centrum Leeuwarden ne peuvent plus travailler à distance. Cependant, la communication en interne reste possible.

La vulnérabilité utilisée pour cette attaque est probablement celle affectant les produits Citrix pour lequel nous avions publié une alerte ici et un bulletin de cyberveille ici.

Selon la clinique, il est pour l’instant impossible de dire si l’attaque a réussi ou non.

Recommandations
+

Le 11 janvier 2020, Citrix a publié les dates de disponibilités des correctifs qui sont les suivantes :

  • le 20 janvier 2020 pour Citrix ADC et Citrix Gateway versions 11.1.x et 12.0.x
  • le 24 janvier 2020 pour Citrix ADC et Citrix Gateway versions 12.1.x et 13.0.x et NetScaler ADC et NetScaler Gateway versions 10.5.x

En attendant les correctifs, il est possible d’appliquer la solution de contournement préconisée par Citrix ici. Elle consiste à ajouter une règle de filtrage pour bloquer certaines requêtes http mal formées. Cette solution palliative ne sera efficace que si l’ensemble des prérequis documentés dans la section « Additional Information » sont respectés.

Pour la version "12.1 build 50.28", les mesures de contournement ne fonctionnent pas, il est recommandé par l'éditeur de migrer vers la version "12.1 build 50.28/50.31" ou une version ultérieure.