Los piratas informáticos analizan los servidores Citrix en busca de debilidades en la vulnerabilidad de ejecución remota de código


Aún no hay parche para el error grave de Citrix Netscaler
Este error crítico de Citrix podría afectar a 80,000 compañías.

Los ciberdelincuentes están realizando análisis para encontrar a los servidores Citrix vulnerables a una falla de seguridad crítica en los productos ADC y Gateway, advirtieron los investigadores.

Revelado en diciembre, la vulnerabilidad severa, rastreada como CVE-2019-19781, afecta el Citrix Application Delivery Controller (ADC), también conocido como NetScaler ADC, junto con Citrix Gateway, anteriormente conocido como NetScaler Gateway. Originalmente informado por Mikhail Klyuchnikov de tecnologías positivas, la vulnerabilidad crítica permite el recorrido del directorio y si se explota permite que los actores de amenazas realicen ataques de Ejecución remota de código (RCE).

De acuerdo con un Citrix aviso de seguridad, estos productos se ven afectados:

  • Citrix ADC y Citrix Gateway versión 13.0 todas las compilaciones compatibles
  • Citrix ADC y NetScaler Gateway versión 12.1 todas las compilaciones compatibles
  • Citrix ADC y NetScaler Gateway versión 12.0 todas las compilaciones compatibles
  • Citrix ADC y NetScaler Gateway versión 11.1 todas las compilaciones compatibles
  • Citrix NetScaler ADC y NetScaler Gateway versión 10.5 todas las compilaciones compatibles

Los investigadores han estimado que al menos 80,000 organizaciones en 158 países son usuarios de ADC y, por lo tanto, podrían estar en riesgo. Las compañías en la línea de fuego tienen su sede principal en los EE. UU., Aproximadamente el 38 por ciento, así como en el Reino Unido, Alemania, los Países Bajos y Australia.

Ver también: Este error crítico de Citrix NetScaler podría afectar a 80,000 compañías

"Dependiendo de la configuración específica, las aplicaciones Citrix se pueden usar para conectarse a estaciones de trabajo y sistemas comerciales críticos (incluido ERP)", dice Positive Technologies. "En casi todos los casos, las aplicaciones de Citrix son accesibles en el perímetro de la red de la compañía y, por lo tanto, son las primeras en ser atacadas. Esta vulnerabilidad permite que cualquier atacante no autorizado acceda no solo a las aplicaciones publicadas, sino que también ataque otros recursos de la red interna de la compañía desde Servidor Citrix ".

Como se informó por Bleeping ComputerSin embargo, los investigadores de ciberseguridad han detectado un aumento en los análisis de servidores Citrix potencialmente vulnerables al error.

En Gorjeo, el investigador Kevin Beaumont dijo que uno de sus honeypots había revelado "atacantes que leen archivos de configuración de credenciales confidenciales de forma remota utilizando ../ atravesar el directorio (una variante de este problema)".

CNET: Las fallas de TikTok podrían haber permitido que los piratas informáticos le envíen mensajes de texto con malware

No parece que se esté utilizando ampliamente ningún código de exploit público, al menos, todavía no. El Decano de Investigación del Instituto de Tecnología SANS, Johannes Ullrich, señaló en su propio cheques honeypot que los análisis actuales no parecen ser "sofisticados" de ninguna manera, algunos de los cuales no son más que solicitudes GET, pero agregaron que "otras fuentes que considero creíbles han indicado que pudieron crear un exploit de ejecución de código".

Aún no se ha lanzado un parche para el problema, pero Citrix ha publicado pautas de mitigación mientras tanto. La compañía recomienda que las administraciones de TI ejecuten un conjunto de comandos, accesible aquí, para adaptar las políticas de respuesta.

TechRepublic: El ejecutivo de Apple explica las protecciones de privacidad, mientras que el líder de Facebook busca lagunas

"Citrix recomienda encarecidamente a los clientes afectados que apliquen inmediatamente la mitigación proporcionada. Los clientes deben actualizar todos sus dispositivos vulnerables a una versión fija del firmware del dispositivo cuando se lance", dice Citrix.

En marzo del año pasado, Citrix reveló una violación de seguridad causada por credenciales de cuenta débiles en una técnica utilizada como rociado de contraseña. Los actores de la amenaza lograron acceder a redes internas y descargar documentos comerciales confidenciales.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0






Enlace a la noticia original