Exploits liberados para críticos aún sin parchar …



Las organizaciones deben aplicar mitigaciones para la vulnerabilidad en Citrix Software Delivery Controller y Citrix Gateway lo antes posible, dicen los investigadores de seguridad.

Las organizaciones que aún no han aplicado las mitigaciones recomendadas para una falla explotada remotamente recientemente revelada en el Citrix Software Delivery Controller (ADC) y los productos Citrix Gateway ahora tienen una muy buena razón para hacerlo de inmediato.

Dos grupos separados de investigadores han publicado un código de explotación de prueba de concepto para la vulnerabilidad (CVE-2019-19781) en GitHub. Un exploit es de un grupo de investigadores de India llamado Job Zero India, y el otro exploit, denominado Citrixmash, es de investigadores de la firma de consultoría de seguridad TrustedSec. Mientras tanto, los investigadores de seguridad también informan un aumento en la actividad de escaneo en los últimos días, lo que sugiere que los atacantes están buscando activamente sistemas para explotar.

Citrix aún no ha lanzado un parche para la falla, que se reveló a fines de diciembre. Los investigadores de seguridad han descrito la vulnerabilidad como especialmente peligrosa porque permite a atacantes remotos no autenticados ejecutar código de explotación arbitrario en sistemas vulnerables.

Las preocupaciones se han incrementado por el hecho de que los productos Citrix se utilizan ampliamente en las redes empresariales para muchas tareas, incluido el acceso remoto a los sistemas internos desde cualquier dispositivo.

Otro variable agravante es el hecho de que la vulnerabilidad se considera muy trivial para explotar. TrustedSec dice que desarrolló su exploit simplemente basado en información en la solución alternativa de Citrix. Citrix ha instado a las organizaciones con el application vulnerable a realizar ciertos cambios de configuración en sus sistemas ADC y Gateway, anteriormente conocidos como Netscaler ADC y Netscaler Gateway, para mitigar el riesgo de ataque. Citrix no tendrá disponible un parche para el firmware del dispositivo hasta aproximadamente el 20 de enero.

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) del DHS lanzó el lunes un utilidad que, según dijo, permite a las organizaciones probar rápidamente si su computer software Citrix ADC y Citrix Gateway son susceptibles a la vulnerabilidad CVE-2019-19781.

«TrustedSec puede confirmar que tenemos un exploit de ejecución de código remoto 100% totalmente funcional que puede atacar directamente cualquier servidor Citrix ADC de una manera no autenticada», consultor de seguridad de TrustedSec David Kennedy dijo en una entrada de weblog Las organizaciones con sistemas vulnerables deberían implementar de inmediato medidas de mitigación para la falla porque los atacantes están buscando activamente sistemas para atacar, dijo.

Al publicar el exploit en GitHub, TrustedSec afirmó que solo lo estaba haciendo porque otros habían publicado el código primero. «Hubiéramos esperado tener esto oculto por un tiempo más, mientras que los defensores tuvieron el tiempo apropiado para parchear sus sistemas», dijo la compañía.

Riesgo elevado

Explotar código de aterrizaje antes del parche aumenta significativamente los riesgos para las muchas organizaciones que aún no han tomado medidas de mitigación en su contra.

«Cualquier organización con un portal de inicio de sesión de NetScaler o ADC expuesto a Web y que carece de la mitigación seguramente ya se ha visto comprometida», dice Craig Younger, investigador principal de seguridad en Tripwire. Todo lo que se necesita para explotar la falla en la mayoría de las situaciones son solo dos solicitudes HTTPS específicas, conforme a Tripwire.

«Una de las cosas más probables que espero que suceda es que muchos de los sistemas se utilizarán para la minería de criptomonedas, o simplemente se revenderán en mercados criminales como puntos de apoyo en redes específicas», dice Young.

Las estimaciones sobre la cantidad de sistemas Citrix que siguen siendo vulnerables a la amenaza han variado un poco en los últimos días. Un escaneo que Tripwire realizó unos 21 días después de que se descubriera por primera vez la falla mostró que 39,378 de 58,620 IP escaneadas seguían siendo vulnerables al ataque.

Alrededor de un tercio de esos sistemas vulnerables, o 13.321, estaban ubicados en los Estados Unidos. Otros países con un número relativamente grande de sistemas vulnerables incluyen Alemania (4.552), Reino Unido (3.321), Suiza (1.725) y Australia (1.618).

Según Younger, la lista de sistemas vulnerables contiene numerosos sistemas de alto valor que pertenecen a organizaciones de múltiples sectores críticos, incluidos los servicios financieros, la atención médica y el gobierno. «Mi enfoque tardó menos de 30 minutos en prepararse y arrojó decenas de miles de resultados», dice.

Empresa de inteligencia de amenazas cibernéticas Paquetes malos durante el fin de semana, el número de sistemas vulnerables se situó en una sombra de más de 25.100. De estos, 18,155 tenían certificados SSL con nombres de dominio únicos. Según Undesirable Packets, la actividad de escaneo masivo oportunista dirigida a la vulnerabilidad se ha disparado en los últimos días, incluso desde hosts ubicados en Alemania y Polonia. La magnitud de la actividad sugiere que los atacantes probablemente hayan enumerado todos los puntos finales vulnerables, públicamente accesibles de Citrix Gateway y Citrix ADC, dijo Undesirable Packets.

«Travelex fue violado recientemente usando una falla muy comparable en un producto VPN de la competencia», dice Younger. En ese incidente en particular, los atacantes robaron gigabytes de datos de tarjetas de pago y otra PII durante un período de seis meses antes de implementar el ransomware REvil en una oferta fallida por unos $ 6 millones.

«Una violación de este tipo puede potencialmente divulgar todo dentro de una organización. Bases de datos de clientes, documentos financieros, código fuente, correos electrónicos embarazosos y casi todo lo demás estaría al alcance de un atacante experto con este nivel de acceso», advierte Young.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dark Studying para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «6 CISO de métricas únicas de InfoSec deberían rastrearse en 2020».

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más strategies





Enlace a la noticia unique