Se insta a los clientes de Citrix a aplicar parches mientras una banda de ransomware se atribuye el mérito de piratear empresas de renombre
Los investigadores de seguridad dicen Los piratas informáticos están explotando en masa una vulnerabilidad de clasificación crítica en los sistemas Citrix NetScaler para lanzar ataques cibernéticos devastadores contra organizaciones de renombre en todo el mundo.
Estos ciberataques han incluido hasta ahora al gigante aeroespacial Boeing; el banco más grande del mundo, ICBC; uno de los operadores portuarios más grandes del mundo, DP World; y el bufete de abogados internacional Allen & Overy, según los informes.
Miles de otras organizaciones siguen sin parches contra la vulnerabilidad, rastreada oficialmente como CVE-2023-4966 y denominada «CitrixBleed». La mayoría de los sistemas afectados se encuentran en América del Norte, según la organización sin fines de lucro Shadowserver Foundation. La agencia de ciberseguridad del gobierno de EE. UU., CISA, también hizo sonar la alarma en un aviso instando a las agencias federales a corregir la falla activamente explotada.
Esto es lo que sabemos hasta ahora.
¿Qué es CitrixBleed?
El 10 de octubre, el fabricante de equipos de red Citrix reveló la vulnerabilidad que afecta a las versiones locales de sus plataformas NetScaler ADC y NetScaler Gateway, que grandes empresas y gobiernos utilizan para la entrega de aplicaciones y la conectividad VPN.
La falla se describe como una vulnerabilidad de divulgación de información confidencial que permite a atacantes remotos no autenticados extraer grandes cantidades de datos de la memoria de un dispositivo Citrix vulnerable, incluidos tokens de sesión confidenciales (de ahí el nombre «CitrixBleed»). Explotar el error requiere poco esfuerzo o complejidad, lo que permite a los piratas informáticos secuestrar y utilizar tokens de sesión legítimos para comprometer la red de una víctima sin necesidad de una contraseña ni de dos factores.
Citrix lanzó parches, pero una semana después, el 17 de octubre, actualizó su aviso para informar que había observado explotación en la naturaleza.
Las primeras víctimas incluyeron servicios profesionales, tecnología y organizaciones gubernamentales, según el gigante de respuesta a incidentes Mandiant, que dijo que comenzó a investigar después de descubrir «múltiples casos de explotación exitosa» a fines de agosto, antes de que Citrix pusiera los parches a disposición.
Robert Knapp, jefe de respuesta a incidentes de la firma de ciberseguridad Rapid7, que también comenzó a investigar el error después de detectar una posible explotación del mismo en la red de un cliente, dijo que la compañía también ha observado atacantes dirigidos a organizaciones de atención médica, manufactura y comercio minorista.
«Los equipos de respuesta a incidentes de Rapid7 han observado tanto movimiento lateral como acceso a datos en el curso de nuestras investigaciones», dijo Knapp, sugiriendo que los piratas informáticos pueden obtener un acceso más amplio a la red y los datos de las víctimas después del compromiso inicial.
Víctimas de renombre
La empresa de ciberseguridad ReliaQuest dijo la semana pasada que tiene evidencia de que al menos cuatro grupos de amenazas, que no nombró, están aprovechando CitrixBleed, y al menos un grupo automatiza el proceso de ataque.
Se cree que uno de los actores de la amenaza es la banda de ransomware LockBit, vinculada a Rusia, que ya se ha atribuido la responsabilidad de varias infracciones a gran escala que se cree que están asociadas con CitrixBleed.
El investigador de seguridad Kevin Beaumont escribió en una publicación de blog el martes que la banda LockBit hackeó la semana pasada la sucursal estadounidense del Industrial and Commercial Bank of China (ICBC), que se dice es el mayor prestamista del mundo por activos, comprometiendo una caja Citrix Netscaler sin parches. La interrupción interrumpió la capacidad del gigante bancario para liquidar operaciones. Según Bloomberg el martes, la empresa aún tiene que restablecer sus operaciones normales.
ICBC, que supuestamente pagó la demanda de rescate de LockBit, se negó a responder las preguntas de TechCrunch, pero dijo en un comunicado en su sitio web que «experimentó un ataque de ransomware» que «provocó la interrupción de ciertos sistemas».
Un representante de LockBit dijo a Reuters el lunes que ICBC “pagó un rescate – trato cerrado”, pero no proporcionó pruebas de su afirmación. LockBit también dijo al grupo de investigación de malware vx-underground que ICBC pagó un rescate, pero se negó a decir cuánto.
Beaumont dijo en una publicación en Mastodon que Boeing también tenía un sistema Citrix Netscaler sin parches en el momento de la violación de LockBit, citando datos de Shodan, un motor de búsqueda de bases de datos y dispositivos expuestos.
El portavoz de Boeing, Jim Proulx, dijo anteriormente a TechCrunch que la compañía está «consciente de un incidente cibernético que afecta a elementos de nuestro negocio de repuestos y distribución», pero no quiso comentar sobre la supuesta publicación de datos robados por parte de LockBit.
Allen & Overy, una de las firmas de abogados más grandes del mundo, también estaba ejecutando un sistema Citrix afectado en el momento de su compromiso, señaló Beaumont. LockBit agregó tanto a Boeing como a Allen & Overy a su sitio de filtración en la web oscura, que las bandas de ransomware suelen utilizar para extorsionar a las víctimas publicando archivos a menos que las víctimas paguen una demanda de rescate.
La portavoz de Allen & Overy, Debbie Spitz, confirmó que el bufete de abogados experimentó un «incidente de datos» y dijo que estaba «evaluando exactamente qué datos se vieron afectados y estamos informando a los clientes afectados».
La banda de ransomware Medusa también está explotando CitrixBleed para comprometer organizaciones específicas, dijo Beaumont.
«Esperaríamos que CVE-2023-4966 sea una de las vulnerabilidades más explotadas de forma rutinaria a partir de 2023», dijo a TechCrunch la jefa de investigación de vulnerabilidades de Rapid7, Caitlin Condon.