Muchos servidores Citrix ADC y Gateway siguen siendo vulnerables a fallas de alta gravedad que, según se informa, fueron reparadas por la empresa hace semanas, afirman los expertos.
A principios de noviembre de 2022, Citrix descubrió y parchó una falla de «Acceso no autorizado a las capacidades del usuario de Gateway», rastreada desde entonces como CVE-2022-27510. Al afectar a ambos productos, permite que un atacante obtenga acceso autorizado a los puntos finales de destino. (se abre en una pestaña nueva)tomar el control de los dispositivos de forma remota y omitir la protección de inicio de sesión de fuerza bruta del dispositivo.
Aproximadamente un mes después, a mediados de diciembre, la empresa arregló una falla de «ejecución remota de código arbitrario no autenticado», rastreada desde entonces como CVE-2022-27518. Este permite a los actores de amenazas ejecutar código malicioso en el punto final de destino, de forma remota.
Advertencia de la NSA
Ambos tienen un puntaje de gravedad de 9.8/10, y al menos uno de ellos fue abusado en la naturaleza como un día cero, afirman los investigadores del equipo Fox IT de NCC Group.
De hecho, la Agencia de Seguridad Nacional de EE. UU. (NSA) advirtió a principios de diciembre que un colectivo de piratas informáticos respaldado por el estado chino estaba explotando esta última vulnerabilidad como una falla de seguridad de día cero.
En ese entonces, en una publicación de blog oficial, el director de seguridad y confianza de Citrix, Peter Lefkowitz, afirmó que «se han informado explotaciones limitadas de esta vulnerabilidad», pero no dio más detalles sobre la cantidad de ataques o las industrias involucradas.
A veces denominado Manganese, este grupo de actores de amenazas aparentemente se ha dirigido explícitamente a las redes que ejecutan estas aplicaciones Citrix para romper la seguridad de la organización sin tener que robar primero las credenciales a través de ataques de ingeniería social y phishing.
Los investigadores también han dicho que, si bien la mayoría de los puntos finales se han parcheado desde el lanzamiento de las correcciones, existen «miles» de servidores vulnerables. A partir del 11 de noviembre de 2022, se descubrió que al menos 28 000 servidores Citrix estaban en riesgo.
“Esperamos que este blog genere más conciencia sobre estos dos CVE de Citrix y que nuestra investigación sobre la identificación de versiones contribuya a estudios futuros”, concluyeron los investigadores.
Vía: BleepingComputer (se abre en una pestaña nueva)