Miles de empresas podrían estar en riesgo por un día cero de Citrix explotado activamente que los piratas informáticos ya han abusado para apuntar al menos a una organización de infraestructura crítica en los Estados Unidos.
La semana pasada, Citrix hizo sonar la alarma sobre la falla calificada como crítica, rastreada como CVE-2023-3519 con una calificación de gravedad de 9.8 sobre 10, que afecta a los dispositivos NetScaler ADC y NetScaler Gateway. Estos productos orientados a la empresa están diseñados para la entrega segura de aplicaciones y brindan conectividad VPN, y se usan ampliamente en todo el mundo, particularmente dentro de organizaciones de infraestructura crítica.
Citrix advirtió que el día cero podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un dispositivo y dijo que tiene evidencia de que la vulnerabilidad fue explotada en la naturaleza. Citrix lanzó actualizaciones de seguridad para la vulnerabilidad el 18 de julio e insta a los clientes a instalar los parches lo antes posible.
Días después de la advertencia de Citrix, la agencia de ciberseguridad de EE. UU. CISA reveló que la vulnerabilidad había sido explotada contra una organización de infraestructura crítica de EE. UU. en junio y se informó a la agencia a principios de julio.
CISA dijo que los piratas informáticos aprovecharon la falla para colocar un webshell en el dispositivo NetScaler ADC de la organización, lo que les permitió recopilar y filtrar datos del Active Directory de la organización, incluida información sobre usuarios, grupos, aplicaciones y dispositivos en la red. Pero debido a que el dispositivo objetivo estaba aislado dentro de la red de la organización, los piratas informáticos no pudieron moverse lateralmente y comprometer el controlador de dominio.
Si bien esta organización logró protegerse con éxito de los piratas informáticos que apuntaban a sus sistemas, miles de otras organizaciones podrían estar en riesgo. La Fundación Shadowserver, una organización sin fines de lucro que trabaja para hacer que Internet sea más seguro, dijo que ha encontrado más de 15 000 servidores Citrix en todo el mundo corren el riesgo de verse comprometidos a menos que se apliquen parches.
La mayor cantidad de servidores sin parches se encuentran en los EE. UU. (5700), seguidos de Alemania (1500), el Reino Unido (1000) y Australia (582), según su análisis.
Todavía no se sabe quién está detrás de la explotación de esta vulnerabilidad, pero se sabe que las vulnerabilidades de Citrix son explotadas tanto por ciberdelincuentes motivados financieramente como por actores de amenazas patrocinados por el estado, incluidos grupos vinculados a China.
En una publicación de blog publicada durante el fin de semana, los investigadores de Mandiant dijeron que si bien aún no pueden atribuir las intrusiones a ningún grupo de amenazas conocido, la actividad es «consistente con operaciones anteriores de actores del nexo con China basadas en capacidades y acciones conocidas contra Citrix ADC en 2022». Mandiant agregó que las intrusiones probablemente sean parte de una campaña de recopilación de inteligencia, y señaló que los actores de amenazas motivados por el espionaje continúan apuntando a tecnologías que no admiten soluciones de detección y respuesta de puntos finales, como firewalls, dispositivos IoT, hipervisores y VPN.
“Mandiant ha investigado docenas de intrusiones en la base industrial de defensa (DIB), el gobierno, la tecnología y las organizaciones de telecomunicaciones a lo largo de los años, donde los presuntos grupos del nexo con China explotaron vulnerabilidades de día cero e implementaron malware personalizado para robar las credenciales de los usuarios y mantener el acceso a largo plazo a los entornos de las víctimas”, dijeron los investigadores.